Windows应急响应
slug
series-status
status
summary
date
series
type
password
icon
tags
category
windows应急响应
1.显示隐藏文件/扩展名
2.检查启动项
- C盘启动文件夹
- win+r msfconfig
- 注册表
- 程序安装的 HKEY_CURRENT_USER/../Run
- 用户定义的 HKEY_LOCAL_MACHINE/../Run
- 检查正在运行的服务
任务管理器
- 组策略
gpedit.msc
- 工具
- Auto Run
3.检查历史痕迹
- 查看最近打开的文件
- C盘Recen文件夹
- win+r recnet
- 文件历史记录 控制面板..\文件历史记录
- 检查临时异常文件
- C盘Local\Temp文件夹
- win+r %temp%
- 浏览器历史记录
- 查看历史记录工具:browserhistory
- 查看cookie信息:iecookies view
- 文件时间:关注修改时间早于创建时间的
- 操作历史记录
win+r cmd doskey /HISTORY
- 应用程序运行历史
C盘Prefetch
- 安装包
控制面板..\程序与功能
4.可疑进程分析
- 查看分析可以建立连接的IP和端口
- netstat -ano | find "ESTABLISHED"
- netstat -abno | findstr "LISTENING"
- netstat -ano
- 定位可以连接的程序名字
- 根据ID定位
- tasklist /svc | find "PID"
- tasklist | findstr "PID"
- 定位可疑程序路径
- 命令
- wmic process | findstr "xxx.exe"
- 图形
- 任务管理器-进程-右键打开文件所在位置
- 找到想要定位的程序就可以
- 杀死可疑程序
- taskkill /PID
- PID /T
- killall <进程名>
- taskkill /im 进程名 /f
- im立即
- f强制
- wmic查询进程
- 查询所有进程
- wmic process list brief
- 查询进程名和ID
- wmic process get name, processid, executablepath
- 根据ID查进程名和路径
- wmic process where processed="进程ID" get name, executablepath
5. 异常计划任务排查
- 命令
- at
- schtasks.exe
- 参数
- 创建计划任务 schtasks /creste /TN 计划任务名字 /SC HOURLY /ST 时间 /TR 制定程序
- 删除计划任务 schtasks /Delete /TN 计划任务名字
- schtasks /query 默认也是展示所有的计划任务
- taskschd.msc
- PE进入拷贝出来用notepad++查看
C:\\\Windows\Systems32\Tasks
该目录下一个文件对应一个文件
- 图形化查看
- 查看路径
- 控制面板-..-任务计划程序
- 查看正在运行的计划任务:具体详细信息
- 程序放到威胁平台分析,该删就删(样本备份)
- 检查异常服务
- 命令
- services.msc
6.账号安全排查:主要是隐藏账户
- win+r netuser 无法查看隐藏账户 net user 用户名 可以查看用户创建时间密码修改时间等
- 检查注册表:是否有可疑新增用户 HKEY_LOCAL_MACHINE..\Account\Users\Names
- 命令检查 lusrmgr.msc
- 弱口令确认
- 图形化检查 控制面板-管理账户
- D盾检查
- 是否被远程登陆过 query user: 可疑查看到会话名字段包含rdp字符
7.恶意程序的发现与停止/删除
高级病毒、木马具备再生性质和多个守护进程
- 推荐工具
- 查看父子进程关系以及命令行参数
- process explorer
- 对于可疑的dll和进程放入威胁分析平台
- 可疑进程分析
- PChunter
- 火绒剑
- 。。。
- 查看加载了dll文件的进程
- 查看所有加载了dll进程的程序
- tasklist /m
- 查看加载了指定的dll进程的程序
- tasklist /m 文件名.dll
- 获取木马进程
- 修改hosts
- 将本机IP绑定攻击者的回连地址
8. 查看和更新补丁
- 查看系统信息
- systeinfo
- 更新补丁
- 控制面板\程序和功能\已安装更新
9. 自身防护检查
- 防火墙检查
- 路径:设置-..-防火墙和网络保护-高级设置
- 检查:入站和出站规则 是否有异常
10. 后门检查
- 工具
- D盾
- 河马
- 深信服
- Safe3
11. 日志分析:
eventvwr.msc
- 安全日志
- 重点关注
- 检查项
- 所有用户登录事件
- 所有用户登录失败事件
- 529
- 4625
- 登录失败
4624:成功登录
4625:失败登录
4776:成功/失败的账户认证
4720:创建用户
windowsid:528. 540
windowsvista事件id:4624
事件类型:成功用户登录
- 系统日志
- 日志路径
- C:/Windows/System32/Config/*.evt
- C:/Windows/System32.winevt/Logs/*.evt
12.高危端口确认
- nmap
- goby
- msscan
13.内存检查
- Volatility:取证工具
Loading...