windows应急响应-1入侵排查

其他 2021-11-26 06:20:12 阅读次数: 0

windows入侵排查篇

参考 Tide团队

https://github.com/TideSec

前言

在这里插入图片描述

一、思路

1.1 检查系统账号安全

1.1.1 服务器弱口令,远程端口是否对外网开放

  • 问管理员

1.1.2 可疑账号,新增账号

  • lusrmgr.msc
    重点看组里 administrators组的账号 有可疑的立即删除

在这里插入图片描述

1.1.3 看是否存在隐藏账号、克隆账号。

  • 检查方法
    a. 打开注册表regedit 查看管理员的键值
    b. 使用D盾_web查杀工具,有对克隆账号的检测功能。

1.1.4 结合日志,查看管理员登录时间、用户名是否存在异常

  • 检查方法
    a. win+r 输入eventvwr.msc 打开事件查看器
    b. 导出windwos日志-安全 利用微软工具
    Log Parser 进行分析。

事件ID

4778,4779 远程桌面 重连或者断开 有远程登录的 ip和 客户端名
4624 登录成功 有远程登录的 ip和 客户端名
4625 登录失败 服务器是否在受到暴力破解
4634 – 注销成功
4647 – 用户启动的注销
4672 – 使用超级用户(如管理员)进行登录
在这里插入图片描述
在这里插入图片描述
4625 登录失败的
在这里插入图片描述

1.2 端口、进程

1.2.1 检查端口连接情况,是否有远程连接、可疑连接。

  • netstat -ano 定位可疑的established
  • 定位出pid 再用 tasklist | findstr “pid” 定位进程

1.2.2 进程

  • D盾_web查杀工具
    点击工具 进程查看 重点关注 没有公司等签名信息的进程
    在这里插入图片描述
  • Process Explorer 微软 进程查看工具 同理

重点看

	没有签名验证信息的进程
	没有描述信息的进程
	进程的属主
	进程的路径是否合法
	CPU 或内存资源占用长时间过高的进程

查看Windows服务所对应的端口:

​ %systemroot%/system32/drivers/etc/services(一般 %systemroot% 就是 C:\Windows 路径)

1.3启动项,计划任务和服务

1.3.1异常启动项

杀软 检查 清除

  • msconfig查看启动项
  • 注册表 regedit
    特别注意 下边三个
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
  • 组策略 gpedit.msc 查看开机启动脚本
    在这里插入图片描述

1.3.2 计划任务

控制面板 -》 计划任务
在这里插入图片描述

1.3.3 服务自启动

services.msc 注意服务状态和启动类型,检查是否有异常服务。
在这里插入图片描述

1.4 可疑文件

1.4.1用户目录

 Window 2003版本 C:\Documents and Settings
Window 2008R2及以后版本 C:\Users\

在这里插入图片描述

1.4.2 最近访问文件

%UserProfile%\Recent
我的电脑 最近访问

1.4.3服务器各目录根据时间 查找

1.4.4回收站,浏览器历史记录,下载记录

ctrl h ctrl j

1.4.5修改时间在创建时间前的文件

右键查看文件属性对比

1.5自动化查杀

  • 病毒查杀 杀毒软件 病毒库最新 查杀
  • webshell查杀
    D盾 河马

1.6日志分析

1.6.1 系统日志

前提:开启审核策略,若日后系统出现故障、安全事故则可以查看系统的日志文件,排除故障,追查入侵者的信息等。

eventvwr.msc
看 应用程序日志、安全日志、系统日志

1.6.2 web访问日志

  • 找到中间件的日志 打包到本地分析

二、工具

1.病毒分析

PCHunter:http://www.xuetr.com

火绒剑:https://www.huorong.cn

Process Explorer:https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer

processhacker:https://processhacker.sourceforge.io/downloads.php

autoruns:https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns

OTL:https://www.bleepingcomputer.com/download/otl/

SysInspector:http://download.eset.com.cn/download/detail/?product=sysinspector

2.病毒查杀

卡巴斯基:http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe   (推荐理由:绿色版、最新病毒库)

大蜘蛛:http://free.drweb.ru/download+cureit+free(推荐理由:扫描快、一次下载只能用1周,更新病毒库)

火绒安全软件:https://www.huorong.cn

360杀毒:http://sd.360.cn/download_center.html

3.病毒动态

CVERC-国家计算机病毒应急处理中心:http://www.cverc.org.cn

微步在线威胁情报社区:https://x.threatbook.cn

火绒安全论坛:http://bbs.huorong.cn/forum-59-1.html

爱毒霸社区:http://bbs.duba.net

腾讯电脑管家:http://bbs.guanjia.qq.com/forum-2-1.html

4.在线病毒扫描网站

Virustotal:https://www.virustotal.com

Virscan:http://www.virscan.org

腾讯哈勃分析系统:https://habo.qq.com

Jotti 恶意软件扫描系统:https://virusscan.jotti.org

5. webshell查杀

D盾_Web查杀:http://www.d99net.net/index.asp

河马 WebShell 查杀:http://www.shellpub.com

猜你喜欢

转载自blog.csdn.net/YouthBelief/article/details/121173646
今日推荐
TIOBE 5 月榜单:Fortran “复活”进入 Top 10
GCC 14.1 发布
面壁智能发布 Eurux-8x22B 开源大模型 —— 堪称「理科状元」
开源日报 | 谷歌扶持鸿蒙上位;开源Rabbit R1;Docker加持的安卓手机;微软的焦虑和野心;海尔电器把开放平台关了
中国码农的“35岁魔咒”
蘭雅 CorelDRAW 插件 2024.5.1 国际劳动节版,免费下载
Arc Browser for Windows 1.0 正式 GA
90后程序员开发视频搬运软件、不到一年获利超 700 万,结局很刑!
周排行
Java自定义时间格式
同步整形电路
在开发中最最最常用的字符串的属性大集合
Linux 查看端口占用并杀掉
Java基础四:ArrayList
多线程之死锁就是这么简单
mysql 基础命令集
awk 命令详解
Centos6.3编译安装nginx+php步骤
OCR (Optical Character Recognition,光学字符识别)
每日归档
更多
2024-05-08(42)
2024-05-07(14)
2024-05-06(40)
2024-05-05(0)
2024-05-04(7)
2024-05-03(19)
2024-05-02(0)
2024-05-01(4)
2024-04-30(1)
2024-04-29(40)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022