应急响应篇:windows

admin
admin
admin
139422
文章
114
评论
2025年4月25日00:02:37评论0 views字数 2423阅读8分4秒阅读模式
1.常见的入侵分类:

web入侵:

挂马,网页篡改(菠菜,黑帽seo),植入webshell,黑页,暗链等

主机入侵:

病毒木马,勒索病毒,远控后门,系统异常,RDP爆破,SSH爆破,主机漏洞,数据库入侵等

网络攻击:

DDOS/CC攻击 ,ARP攻击,DNS/HTTP劫持

路由器,交换机攻击:

内网病毒,配置错误,机器本身的漏洞。

2.应急响应:
01.日志查看:
win+r mmc 启动事件查看器
或者 win+r eventvwr.mmc

win日志位置:windows2000/2003/xp:

%Systemroot%System32Config*.evt

windows vista/7/8+++++:

%Systemroot%System32winevtLogs*.evtx

也有:

C:WindowsSystem32winevtLogs
02.检查账户:

win+r mmc 进入 本地用户和组

查看用户是否开放,用户所在组是否正确

shell下:netuser 【不显示隐藏用户】

win+r regedit 进入下面这个路径:

local_machinesoftwaremicrosoftwindows NTcurrentverisonprofilelist

看长名字的文件夹有没有增加,或者组别不正确

local_machinesam 【部分版本可能有】

03.文件分析:

临时目录 【都是有可能存在这些文件夹】

tmp/temp/回收站

查看文件夹中是否存在奇怪的文件

C:useradministratorLocal SettingsTemp  

【手工输入后半部分才能进入】

DocumentandSettingsLocal SettingsTemp 【老版本】

C:Users[用户名]AppDataLocalTemp

C:useradministratorlocal settingstemporary internet files 

C:useradministratorcookies

C:useradministratorlocal settingshistory

C:useradministratorrecent

查看文件的最后修改时间:

对文件夹内文件进行时间顺序排序,

比较新的修改时间大概率是被动了手脚。

hosts文件 :

直接修改请求网站的目的地。

C:WindowsSystem32driversetchosts

[ipconfig /flushdns  刷新dns缓存的命令]

04.排查网络操作:
网络行为排查:
微步在线 查找官方备案 virustotal.com
网络连接排查:
shell下:netstat -ano 
tasklist 查看进程
流量分析:wireshark charles
主机访问动态域名 显然不正常
漏洞及补丁信息:
systeminfo 打开windows自动更新
05.针对攻击鉴别及防御:
ddos通用防御:

限制单ip请求,负载均衡,cdn,禁止icmp,隐藏真实ip,流量清洗,优化tcp/ip的栈,代码合理使用缓存,cdn云清洗,利用ai进行行为分析。

syn攻击:

服务器cpu占用率高

大量的SYN_RECEIVED网络连接状态

网络恢复后,负载瞬间变高,断开后负载下降。

udp攻击:

服务器cpu占用率高,

每秒大量数据包

tcp正常

cc攻击:

服务器cpu占用率高

自己访问时,web服务器出现service unavailable提示

大量establish网络连接,单ip高达上百,用户无法正常访问网点

syn+ack防御:

提高半开放连接队列的大小

linux下:调用/proc/syn/net/ipv4/tcp_max_syn_backlog进行查看

dns放大攻击:

大量dns请求,

防御:ips规则,关闭递归查询,dns解释器只接受受信任的域名服务,acl

arp欺骗:

arp -a 查看mac地址是否出现重复

防御方式:

防火墙,mac地址的绑定

06.可疑进程分析
tasklist 显示所有运行进程
查看进程名字及后缀

主要关注svchost.exe 执行的用户名【假如是一个很奇怪的名字。。。】

pchunter软件 查看系统全面内容
命令排查:
tasklist | findstr httpd
查看httpd的pid
wmic process | find "进程id" > proc.csv  

查看这个pid进程的详细信息

tasklist /svc 

查看哪个进程对应哪个服务

启动项排查:

win+r regedit

local_machinesoftwaremicrosoftwindowscurrentversionrunoncelocal_machinesoftwaremicrosoftwindowscurrentversionpoliciesexcallerrunlocal_machinesoftwaremicrosoftwindowscurrentversionrunlocal_machinesoftwaremicrosoftwindows ntcurrentversionrunoncelocal_machinesoftwaremicrosoftwindows ntcurrentversionrun

win+r msconfig 启动 打开任务管理器

win+r mmc 添加删除管理单元 服务 

查看目录:

c:programdatamicrosoftwindowsstart menuprogramsstartup

计划任务:

c:windowssystem32tasksc:windowstasks

win+r mmc 添加删除管理单元 任务计划程序

特定事件的痕迹:

挖矿病毒:诱导点击,下载邮件,远程执行漏洞,弱口令,后台打开了web页面(前台不显示,占用很大资源)cpu,gpu占用高,网络连接他人ip地址

勒索病毒:第一时间拔网线

win的应急响应工具:

windows-kernel-explorer-master  方便检测进程

原文始发于微信公众号(week网安热爱者):应急响应篇:windows

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年4月25日00:02:37
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   应急响应篇:windowshttps://cn-sec.com/archives/3962038.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息