Windows安全应急--应急排查的一些方法

前言:

非法BC植入网站安全应急,

在安全应急中,

总会需要大大小小的问题,

就像成长一样。


检测工具尽量使用轻量级的。。

本次演示环境 Windows Server 2008


问题排查步骤:

  1. 先判断服务器有没有被Rootkit

  2. 查看登录日志,任务计划,开机启动项

  3. 检测用户活动文件等

  4. 检查隐藏账户,注册表


NO.1 检查服务器有没有被Rootkit

这一步很重要,如果被Rootkit(相当于被提权了),那只能重装系统了。

这里推荐两款检测工具,

1. PCHunter

这款工具还是很强大的,

检测项也很多,方便判断各项有没有异常,

images


看的这基本可以判断服务器没有被Rootkit。


2. RootkitRevealer

这款工具也OK,问题就是版本有点老了,高版本服务器可能跑不起来,

images


这里也方便查看各项,


除了使用工具排查,最好再手动检测看看,

当然目前本菜还不会,/手动捂脸。


NO.2 检查登录日志,任务计划,开机启动项

1.检查有没有异常登录情况

控制面板 -> 查看事件日志 -> Windows日志 -> 安全

images


可以根据登录日志去排查入侵日期,

也可以判断攻击者是不是通过爆破口令入侵的。


2.任务计划

主要目的是检查攻击者有没有设置定时任务运行恶意程序,

很多攻击者为了躲避管理员,设置凌晨运行恶意程序,到早上再自动关闭。

管理工具 -> 任务计划程序

images


3.开机启动项

这个好像没什么好解释了,

很多安全软件能够更准确的判断出恶意启动项,

然后找出程序,干掉。

images


在任务管理器这里勾选PID,能够更快速的定位恶意进程。


NO.3 检查活动文件

1.用户桌面文件

只要攻击者创建用户,或者用administrator账号在服务器上活动,就会留下痕迹。

images


放一张之前应急的截图,

images


可以看到,heibai这个账号的遗留痕迹,

可以通过这些遗留文件获取攻击者的一些活动范围


2.下载文件

路径:
C:\Documents and Settings\cracker\桌面

用户的桌面,可能放有一些临时文件或下载的文件

images


这个文件夹一般是隐藏的,需要在文件夹选项设置显示,

通常情况下是拒绝访问的,可以参考一下这篇文章

https://jingyan.baidu.com/article/c910274bc7530acd361d2dca.html

3.用户的网络访问情况

路径:
C:\Documents and Settings\cracker\Cookies

用户的网络访问情况,cookie 文件中可能会记录一些敏感信息

跟上面一样,也是隐藏的。。


4.程序安装的临时文件

路径:
C:\Documents and Settings\cracker\Local Settings\Temp

一些程序安装、解压缩等操作可能会在该目录产生临时文件


5.最近浏览痕迹

路径:
C:\Documents and Settings\cracker\Recent

用户最近访问过哪些文件或文件夹


6.上网的历史记录

路径:
C:\Documents and Settings\cracker\Local Settings\History

用户上网的历史记录


7.临时文件

路径:
C:\Documents and Settings\cracker\Local Settings\Temporary Internet Files

上网时产生的临时文件,不但会存储网页页面内容,还可能以临时文件的方式存储 一些下载的文件


NO.4 检查隐藏账号,注册表

一些攻击者通常使用 $ 符号来创建隐藏账户,

这些账户输入 net user无法查看到,

我们可以通过 管理工具 -> 计算机管理 -> 用户

查看到这些隐藏用户。

images


关于注册表隐藏用户可以看看这里

https://www.cnblogs.com/wjvzbr/p/7906855.html

注册表也很重要,账户可以修改注册表来达到隐藏,

一些文件可以通过修改注册表达到再生,

前面说的一些安全工具都可以检查注册表,

这里推荐一个轻量级安全检查脚本,需要管理员权限运行

https://www.jb51.net/bat/498789.html

检查之后可以手工再去看看。


  • 24
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
在进行Windows应急响应排查时,可以采取以下步骤: 1. 检查启动项:查看注册表中的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce键,删除异常的启动项目。同时,建议安装杀毒软件进行病毒查杀,清除残留病毒或木马。还可以使用安全软件查看启动项和管理开机时间。 2. 检查计划任务:在任务计划中查看计划任务属性,可以发现木马文件的路径。同时,通过运行`cmd`命令,输入`at`命令,检查计算机与网络上的其他计算机之间的会话或计划任务,确认是否为正常连接。 3. 检查服务自启动:通过运行`services.msc`命令,查看服务状态和启动类型,检查是否有异常服务。 4. 检查系统相关信息:通过运行`systeminfo`命令,查看系统版本以及补丁信息。此外,还可以查找可疑目录和文件,特别是在用户目录下查看是否有新建用户目录。 5. 检查注册表中的开机启动位置:包括HKLM\Software\Microsoft\Windows\CurrentVersion\Runonce、HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run、HKLM\Software\Microsoft\Windows\CurrentVersion\Run、HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run、HKCU\Software\Microsoft\Windows\CurrentVersion\Run、HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce、(ProfilePath)\Start Menu\Programs\Startup、任务管理器的启动选项卡、运行`msconfig`查看启动选项卡,以及运行`gpedit.msc`在本地组策略编辑器中查看开机运行脚本。 以上是进行Windows应急响应排查时的一些常用步骤和方法。根据具体情况,还可以结合其他工具和技术进行更深入的排查。[1][2][3]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

余十步

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值