網絡安全應急響應—windows系統

//可以顯示本地計算機的硬件資源、組件、軟件環境、正在運行的任務、服務、系統驅動程序、加載模塊、啟動程序等。

C:\Users\test>msinfo32 //Microsoft系統信息工具：Msinfo32.exe

C:\Users\test>systeminfo //可查看主機名、操作系統等版本信息。

攻擊者入侵服務器後，可能會通過創建賬号對服務器進行遠程控制。常見的創建賬号方法有：創建新賬号、激活默認賬号、建立隐藏賬号（用戶名後跟$的為隐藏賬号）。

排查惡意賬号的方法如下，如果存在惡意賬号删除或者禁用：

C:\Users\test>net user //查看所有用戶，此方法無法查看隐藏用戶

C:\Users\test>net user username //查看指定用戶信息

C:\Users\test>wmic useraccount get name,SID //查看用戶信息

C:\Users\test>lusrmgr.msc

啟動項是系統開機時在前台或者後台運行的程序，攻擊者有可能通過啟動項使用病毒後門等實現持久化控制。

排查啟動項的方法如下：

C:\Users\test>msconfig //命令行打開啟動項

查看是否存在命名異常的啟動項目，是則取消勾選命名異常的啟動項目，并到命令中顯示的路徑删除文件。 或：

C:\Users\test>regedit打開注冊表，查看開機啟動項是否正常。

特别注意如下三個注冊表項:

HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

檢查右側是否有異常的啟動項。如果存在，則删除，并使用殺毒工具進行查殺清除。

查看計劃任務屬性，查看是否存在木馬文件等。

C:\Users\test>taskschd.msc //獲取計劃任務信息

C:\Users\test>schtasks //獲取計劃任務信息（用戶需是administrators組成員）

或直接打開計算機管理-->系統工具-->計劃任務程序

//查看服務類型和啟動狀态，查看是否存在異常服務

C:\Users\test>services.msc

主機在感染惡意程序時，都會啟動相應進程來完成惡意操作。

排查方法如下：

C:\Users\test>msinfo32 軟件環境-->正在運行任務

C:\Users\test>tasklist //可顯示所有進程

C:\Users\test>tasklist /svc //可顯示進程和服務的對應關系

C:\Users\test>tasklist /m //可顯示進程加載DLL情況

C:\Users\test>tasklist /m xx.dll //可查看調用xx.dll模塊的進程

運行wmic，命令行輸入process //查看進程對應的程序位置

判斷進程是否可疑，主要關注以下幾點：

1、沒有簽名驗證信息的進程

2、沒有描述信息的進程

3、進程的屬主

4、進程的路徑是否合法

5、CPU或内存資源占用長時間過高的進程

或通過第三方工具進行排查：D盾_web查殺工具，微軟官方提供的 Process Explorer等工具進行排查。

主要對端口的連接情況進行檢查，排查是否存在遠程連接、可疑連接。檢查方法如下：

//查看目前的網絡連接，定位可疑的ESTABLISHED

C:\Users\test>netstat -ano 或。 C:\Users\test>netstat -anb（需要管理員權限）

//根據netstat定位出的PID，通過tasklist命令進行進程定位

C:\Users\test>tasklist | findstr pid

//查看端口對應的PID

C:\Users\test>netstat -ano ｜ findstr port

主要對惡意軟件常用的敏感路徑進行排查、針對應急響應事件發生前後的文件進行排查、對帶有特征的惡意軟件進行排查等。檢查方法如下：

1、各個盤下的temp/tmp目錄，查看臨時文件下是夠存在異常文件；

2、回收站、浏覽器下載目錄、浏覽器曆史記錄，cookie信息等，查看是否存在可以信息；

3、運行-->recent

查看Recent文件。Recent文件存儲了最近運行文件的快捷方式；

4、運行-->%SystemRoot%\Prefetch\

查看預讀取文件夾。存放系統已訪問過的文件的預讀取信息;

5、運行-->%SystemRoot%\appcompat\Programs\

查看Amcache.hve文件，該文件可查詢應用程序保存路徑、上次執行時間、SHA1值。

在應急響應事件發生後，可通過事件發生時間來排查該時間點前後的文件更改情況。

1、forfiles命令查找2022/3/16後創建的exe文件

C:\Users\test>forfiles /m *.exe /d 2022/3/16 /s /p c:\ /c "cmd /c echo @path @fdate @ftime" 2>null

2、對服務器文件以時間排序，查看可疑文件；

3、修改時間在創建時間之前的為可疑文件，重點排查類似有邏輯問題的文件；

4、利用計算機自帶文件搜索功能，指定修改時間進行搜索；

5、使用D盾、webshellkill等工具。

在Windows系統中，日志文件包括：系統日志、安全性日志及應用程序日志，其位置如下。也可通過運行-->eventvwr.msc打開事件查看器。

在Windows 2000專業版/Windows XP/Windows Server 2003系統中:

系統日志的位置為:

C:\WINDOWS\System32\config\SysEvent.evt

安全性日志的位置為:

C:\WINDOWS\System32\config\SecEvent.evt

應用程序日志的位置為:

C:\WINNT\System32\config\AppEvent.evt

在Windows Vista/Windows7/Windows8/Windows10/Windows Server2008及以上版本系統中:

系統日志的位置為:

%SystemRoot%\System32\Winevt\Logs\System.evtx

安全性日志的位置為:

%SystemRoot%\System32\Winevt\Logs\Security.evtx

應用程序日志的位置為:

%SystemRoot%\System32\Winevt\Logs\Application.evtx

系統日志主要是指Windows系統中的各個組件在運行中産生的各種事件。這些事件一般可以分為：系統中各種驅動程序在運行中出現的重大問題、操作系統的多種組件在運行中出現的重大問題及應用軟件在運行中出現的重大問題等，這些重大問題主要包括重要數據的丢失、錯誤，以及系統産生的崩潰行為等。

安全性日志與系統日志不同，安全性日志主要記錄了各種與安全相關的事件。構成該日志的内容主要包括：各種登錄與退出系統的成功或不成功的信息;對系統中各種重要資源進行的各種操作，如對系統文件進行的創建、删除、更改等操作.

應用程序日志主要記錄各種應用程序所産生的各類事件。例如，系統中SQL Server數據庫程序在受到暴力破解攻擊時，日志中會有相關記錄，該記錄中包含與對應事件相關的詳細信息.

對服務器進行内存的提取，分析其中的隐藏進程。

内存的獲取方法：

基于用戶模式程序的内存獲取;

基于内核模式程序的内存獲取;

基于系統崩潰轉儲的内存獲取;

基于操作系統注入的内存獲取;

基于系統休眠文件的内存獲取;

基于虛拟化快照的内存獲取;

基于系統冷啟動的内存獲取;

基于硬件的内存獲取。

查看相關的地址連接情況： PCHunter、Process Monitor等工具或netstat等)命令。

查看内部流量：使用Wireshark/colasoft等網絡封包分析軟件。