Windows应急响应

slug
series-status
status
summary
date
series
type
password
icon
tags
category

windows应急响应

1.显示隐藏文件/扩展名

2.检查启动项

  1. C盘启动文件夹
  1. win+r msfconfig
  1. 注册表
    1. 程序安装的 HKEY_CURRENT_USER/../Run
    2. 用户定义的 HKEY_LOCAL_MACHINE/../Run
  1. 检查正在运行的服务
    1. 任务管理器
  1. 组策略
    1. gpedit.msc
  1. 工具
  • Auto Run

3.检查历史痕迹

  1. 查看最近打开的文件
    1. C盘Recen文件夹
    2. win+r recnet
    3. 文件历史记录 控制面板..\文件历史记录
  1. 检查临时异常文件
    1. C盘Local\Temp文件夹
    2. win+r %temp%
  1. 浏览器历史记录
    1. 查看历史记录工具:browserhistory
    2. 查看cookie信息:iecookies view
  1. 文件时间:关注修改时间早于创建时间的
  1. 操作历史记录
    1. win+r cmd doskey /HISTORY
  1. 应用程序运行历史
    1. C盘Prefetch
  1. 安装包
    1. 控制面板..\程序与功能

4.可疑进程分析

  1. 查看分析可以建立连接的IP和端口
  • netstat -ano | find "ESTABLISHED"
  • netstat -abno | findstr "LISTENING"
  • netstat -ano
  1. 定位可以连接的程序名字
  • 根据ID定位
    • tasklist /svc | find "PID"
    • tasklist | findstr "PID"
  1. 定位可疑程序路径
  • 命令
    • wmic process | findstr "xxx.exe"
  • 图形
    • 任务管理器-进程-右键打开文件所在位置
    • 找到想要定位的程序就可以
  1. 杀死可疑程序
  • taskkill /PID
  • PID /T
  • killall <进程名>
  • taskkill /im 进程名 /f
    • im立即
    • f强制
  1. wmic查询进程
  • 查询所有进程
    • wmic process list brief
  • 查询进程名和ID
    • wmic process get name, processid, executablepath
  • 根据ID查进程名和路径
    • wmic process where processed="进程ID" get name, executablepath

5. 异常计划任务排查

  1. 命令
    1. at
    2. schtasks.exe
      1. 参数
      2. 创建计划任务 schtasks /creste /TN 计划任务名字 /SC HOURLY /ST 时间 /TR 制定程序
      3. 删除计划任务 schtasks /Delete /TN 计划任务名字
      4. schtasks /query 默认也是展示所有的计划任务
    3. taskschd.msc
    4. PE进入拷贝出来用notepad++查看
      1. C:\\\Windows\Systems32\Tasks
        该目录下一个文件对应一个文件
  1. 图形化查看
  • 查看路径
    • 控制面板-..-任务计划程序
  • 查看正在运行的计划任务:具体详细信息
    • 程序放到威胁平台分析,该删就删(样本备份)
  • 检查异常服务
    • 命令
      • services.msc

6.账号安全排查:主要是隐藏账户

  1. win+r netuser 无法查看隐藏账户 net user 用户名 可以查看用户创建时间密码修改时间等
  1. 检查注册表:是否有可疑新增用户 HKEY_LOCAL_MACHINE..\Account\Users\Names
  1. 命令检查 lusrmgr.msc
  1. 弱口令确认
  1. 图形化检查 控制面板-管理账户
  1. D盾检查
  1. 是否被远程登陆过 query user: 可疑查看到会话名字段包含rdp字符

7.恶意程序的发现与停止/删除

高级病毒、木马具备再生性质和多个守护进程
  • 推荐工具
    • 查看父子进程关系以及命令行参数
      • process explorer
        • 对于可疑的dll和进程放入威胁分析平台
    • 可疑进程分析
      • PChunter
      • 火绒剑
      • 。。。
    • 查看加载了dll文件的进程
      • 查看所有加载了dll进程的程序
        • tasklist /m
      • 查看加载了指定的dll进程的程序
        • tasklist /m 文件名.dll
    • 获取木马进程
      • 修改hosts
        • 将本机IP绑定攻击者的回连地址

8. 查看和更新补丁

  • 查看系统信息
    • systeinfo
  • 更新补丁
    • 控制面板\程序和功能\已安装更新

9. 自身防护检查

  • 防火墙检查
    • 路径:设置-..-防火墙和网络保护-高级设置
    • 检查:入站和出站规则 是否有异常

10. 后门检查

  • 工具
    • D盾
    • 河马
    • 深信服
    • Safe3

11. 日志分析:

eventvwr.msc
  1. 安全日志
      • 重点关注
        • 4624:成功登录
          4625:失败登录
          4776:成功/失败的账户认证
          4720:创建用户
      • 检查项
        • 所有用户登录事件
          • windowsid:528. 540
            windowsvista事件id:4624
            事件类型:成功用户登录
        • 所有用户登录失败事件
          • 529
          • 4625
          • 登录失败
  1. 系统日志
  1. 日志路径
  • C:/Windows/System32/Config/*.evt
  • C:/Windows/System32.winevt/Logs/*.evt

12.高危端口确认

  • nmap
  • goby
  • msscan

13.内存检查

  • Volatility:取证工具
Loading...

尚未开始
更新中
近期核心
已完结
已弃更

© River 2021-2025