Windows入侵响应排查
2021-03-22 18:17:07 Author: www.freebuf.com(查看原文) 阅读量:109 收藏

Windows入侵排查思路

检查系统账号安全

1.检查弱口令,远程端口是否对外网开发

2.查看可疑账号与新增账号

(1)在cmd中输入lusrmgr.msc会弹出本地用户组,在用户下即可查看账号,如有不知名账号,立即禁用删除。

1616404244_60585f145ee3e63394325.png!small

(2)通过net user 也可查看

1616404250_60585f1ae5f7f7368e33d.png!small

3.查看是否存在隐藏账号

(1)使用D盾进行查看

1616404260_60585f24bf9661f240c99.png!small

(2)在注册表也可以进行查看

在快捷键输入regedit

1616404267_60585f2ba17e64e65677d.png!small

依次展开

1616404273_60585f31710565edb6f19.png!small

右键权限

1616404281_60585f39b76f8034f8f04.png!small

权限给完以后,刷新重新打开,依次展开HKEY_LOCAL_MACHINE\SAM\\SAM\Domains\account\Users\Names,即可看到所有的用户。

1616404289_60585f413a7d3dffc5a63.png!small

4.查看日志,用户登录时间等

(1)在cmd输入eventvwr.msc快速打开事件查看器

1616404295_60585f47a31a163f02a20.png!small1616404308_60585f5409cd94b0ca021.png!small

(2)导出windows日志,用工具Log Parser进行分析

1616404315_60585f5b9b4316a828598.png!small

检查端口和进程

  1. 检查端口的连接方法

用netstat -ano 进行查看所有开启的端口的网络连接,然后在根据pid使用tasklist去定位进程tasklist | findstr“PID”,taskkill /PID xxx”结束进程,xxx 为进程PID的值

1616404324_60585f64e12ddd1709de7.png!small1616404331_60585f6b82005b9f9a7cc.png!small

  1. 进程检测

(1)在cmd或运行输入msinof32,点击软件环境——正在运行任务即可查看进行信息(进程路径、进程ID、文件创建日期、启动时间)

1616404339_60585f73eae2378b742dc.png!small

(2)使用D盾也可以进行查看

1616404347_60585f7b993b74eaf619a.png!small

(3)在任务管理器也可以进行查看,右键可查看进程属性及位置

1616404363_60585f8bbec0f8d781ef4.png!small

同时在命令行界面,可以使用运行输入 wmic,cmd界面 输入 process,即可通过命令行进行查看进程的位置

1616404383_60585f9f71ddd68fbfdb9.png!small

查看Windows服务所对应的端口: ​ %system%/system32/drivers/etc/services(一般%system%就是C:\Windows)

(4)查看可疑的进程及其子进程。可以通过观察以下内容:

没有签名验证信息的进程

没有描述信息的进程

进程的属主

进程的路径是否合法

CPU或内存资源占用长时间过高的进程

检查启动项、计划任务、服务

启动项检查:

  1. 首先检查在开启的启功项中是否存在非业务程序
  2. 在运行菜单输入msconfig,查看是否存在命名异常的项目1616404415_60585fbf90dde8962a754.png!small
  3. 打开注册表,查看启动项是否正常,运行——regedit,其中特别要注意:

HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

1616404453_60585fe5ba7a77c1f206e.png!small

  1. 可利用软件查看启动项(火绒剑等1616404462_60585feea663ebfa0e72e.png!small

计划任务检查:

1.在控制面板找到计划任务,查看计划任务大的属性1616404499_605860133cb69bc70c1b0.png!small

    2.在cmd输入at,检查计算机与网络上其他计算机之间的会话联系(管理员启动)

1616404516_60586024524b2fe5c7330.png!small

    3.通过在运行输入msc,来检查服务自启动1616404530_605860325aa3117a35326.png!small

检查系统相关信息

查看系统版本及补丁:

  1. 管理员方式启动cmd输入systeminfo,查看服务器信息1616404542_6058603e81cbfb54b77ba.png!small

查看可疑目录及文件:

  1. 查看用户目录C:\Users\、C:\Documents and Settings(2003)1616404549_6058604596eea498c8f15.png!small
  2. 查看最近打开的文件(在运行输入%UserProfile%\Recent)
  3. 根据文件夹内文件列表时间进行排序,查找可疑文件、回收站、浏览器下载目录、浏览器历史记录、修改时间在创建时间之前的为可疑文件
  4. 得到发现WEBSHELL、远控木马的创建时间,如何找出同一时间范围内创建的文件?

利用 Registry Workshop 注册表编辑器的搜索功能,可以找到最后写入时间区间的文件、利用计算机自带文件搜索功能,指定修改时间进行搜索。

工具查杀及日志审计

  1. 使用火绒、360等安全工具进行查杀
  2. Webshell查杀工具D盾等
  3. 系统日志在cmd打开msc,在事件查看器中即可查看,导出应用程序日志、安全日志、系统日志,利用Log Parser进行分析。Web日志可以找到中间件日志打包到本地分析,或者采用工具分析(EmEditor)
  • 工具

病毒分析:

PCHunter:http://www.xuetr.com

火绒剑:https://www.huorong.cn

Process Explorer:https://docs.microsoft.com/zhcn/sysinternals/downloads/process-explorer

processhacker:https://processhacker.sourceforge.io/downloads.php

autoruns:https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns

OTL:https://www.bleepingcomputer.com/download/otl/

SysInspector:http://download.eset.com.cn/download/detail/?product=sysinspector

病毒查杀

卡巴斯基:http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe (推荐理由:绿色版、最新病毒库)

大蜘蛛:http://free.drweb.ru/download+cureit+free(推荐理由:扫描快、一次下载只能用1周,更新病毒库)

火绒安全软件:https://www.huorong.cn

360杀毒:http://sd.360.cn/download_center.html

病毒动态:

CVERC-国家计算机病毒应急处理中心:http://www.cverc.org.cn

微步在线威胁情报社区:https://x.threatbook.cn

火绒安全论坛:http://bbs.huorong.cn/forum-59-1.html

爱毒霸社区:http://bbs.duba.net

腾讯电脑管家:http://bbs.guanjia.qq.com/forum-2-1.html

在线病毒扫描

http://www.virscan.org //多引擎在线病毒扫描网 v1.02,当前支持 41 款杀毒引擎

https://habo.qq.com //腾讯哈勃分析系统

https://virusscan.jotti.org //Jotti恶意软件扫描系统

http://www.scanvir.com //针对计算机病毒、手机病毒、可疑文件等进行检测分析

webshell查杀

D盾_Web查杀:http://www.d99net.net/index.asp

河马webshell查杀:http://www.shellpub.com

深信服Webshell网站后门检测工具:http://edr.sangfor.com.cn/backdoor_detection.html

Safe3:http://www.uusec.com/webshell.zip


文章来源: https://www.freebuf.com/articles/others-articles/267093.html
如有侵权请联系:admin#unsafe.sh