C:\Users\[用户名]\Local Settings\Temp
C:\Documents and Settings\[用户名]\Local Settings\Temp
C:\Users\[用户名]\桌面
C:\Documents and Settings\[用户名]\桌面
C:\Users\[用户名]\Local Settings\Temporary Internet Files
C:\Documents and Settings\[用户名]\Local Settings\Temporary Internet Files
注:[用户名] 根据实际环境用户得出,常见用户名是Administrator,建议所有用户都检查一下。
1.2 浏览器相关文件
黑客可能通过浏览器下载恶意文件,或者盗取用户信息,因此需要检查下浏览器的历史访问记录、文件下载记录、cookie信息,对应相关文件目录如下:
C:\Users\[用户名]\Cookies
C:\Documents and Settings\[用户名]\Cookies
C:\Users\[用户名]\Local Settings\History
C:\Documents and Settings\[用户名]\Local Settings\History
C:\Users\[用户名]\Local Settings\Temporary Internet Files
C:\Documents and Settings\[用户名]\Local Settings\Temporary Internet Files
1.3 最近打开文件
检查下最近打开了哪些文件,可疑文件有可能就在最近打开的文件中,打开以下这些目录即可看到:
C:\Users\[用户名]\Recent
C:\Documents and Settings\[用户名]\Recent
1.4 文件修改时间
可以根据文件夹内文件列表时间进行排序,查找可疑文件。一般情况下,修改时间越近的文件越可疑。当然,黑客也有可能修改”修改日期“。
注:点击”修改日期“,使之按最近修改时间排序,优先检查下”修改日期“最近的文件。
1.5 System32目录与hosts文件
System32也是常见的病毒释放目录,因此也要检查下该目录。hosts文件是系统配置文件,用于本地DNS查询的域名设置,可以强制将某个域名对应到某个IP上,因此需要检查hosts文件有没有被黑客恶意篡改。
C:\Windows\System32
C:\Windows\System32\drivers\hosts
这里以hosts文件为例,检查3种异常:
1.知名站点,检查对应IP是否真的归属该站点,防止”钓鱼“
2.未知站点,检查该域名和IP是否恶意
3.无法访问的安全站点,即IP是否指向127.0.0.1、0.0.0.0等本地地址、无效地址
2 网络行为排查
2.1 重要辅助站点
1. https://www.virustotal.com/ , 国外知名安全站点,需翻墙,可查询文件MD5、IP、域名、URL是否恶意,也可上传文件进行病毒扫描。
2. https://x.threatbook.cn/ , 国内威胁情报站点,可查询文件MD5、IP、域名、URL是否恶意,也可上传文件进行病毒扫描。
3. http://beian.cndns.com/,国内站点备案查询,所有有企业备案的国内站点可认为是可信站点。
4. http://www.alexa.com/,全球站点排行查询,top100万的站点可认为是可信站点(国外站点没有备案这一说法)。
5. Google与Baidu等搜索引擎,输入文件MD5/IP/域名,有时候可以查询到对应病毒信息。
2.2 网络连接排查
使用命令 netstat -ano 查看当前的网络连接,排查可疑的服务、端口,外连的IP。
如发现netstat定位出的pid有问题,可再通过tasklist命令进一步追踪该可疑程序。
2.3 流量分析
流量分析可以使用Wireshark,主要分析下当前主机访问了哪些域名、URL、服务,或者有哪些外网IP在访问本地主机的哪些端口、服务和目录,又使用了何种协议等等。
例如,使用Wireshark观察到,主机访问了sjb555.3322.org这种动态域名,即可粗略猜测这是一个C&C服务器。
2.4 漏洞与补丁信息
使用命令systeminfo,查看系统版本信息以及补丁信息,确认当前系统是否存在漏洞、是否已经打了相应的补丁。
可重点关注下远程命令执行漏洞,如MS08-067、MS09-001、MS17-010(永恒之蓝)……
3 可疑进程分析
3.1 进程名字异常与伪装
进程名字异常是指某些进程的名字是随机产生的,因此高度可疑,例如:
某感染环境,打开任务管理器,发现有大量名字随机的进程,如hrlB3.tmp、hrlCC.tmp、hrlCD.tmp、hrlC3.tmp、hrlC5.tmp、hrlD5.tmp、hrl6.tmp、hrlEE.tmp。不仅文件后缀不是典型的exe,名字也是随机产生的,这种肯定是异常进程。
进程名字伪装是指某些进程的名字伪装成跟系统进程名字相似的名字,目的是为了混淆视听,使经验不足或看走眼的管理员以为是正常进程或文件。
3.2 进程信息排查
进程信息的排查推荐使用PC Hunter、Process Hacker。
PC Hunter(官网www.xuetr.com)是一个Windows系统信息查看软件,可协助排查木马、后门等病毒,功能包含:
1.进程、线程、进程模块、进程窗口、进程内存、定时器、热键信息查看,杀进程、杀线程、卸载模块等功能
2.内核驱动模块查看,支持内核驱动模块的内存拷贝
3.SSDT、Shadow SSDT、FSD、Keyboard、TCPIP、Classpnp、Atapi、Acpi、SCSI、Mouse、IDT、GDT信息查看,并能检测和恢复ssdt hook和inline hook
4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等Notify Routine信息查看,并支持对这些Notify Routine的删除
5.端口信息查看
6.查看消息钩子
7.内核模块的iat、eat、inline hook、patches检测和恢复
8.磁盘、卷、键盘、网络层等过滤驱动检测,并支持删除
9.注册表编辑
10.进程iat、eat、inline hook、patches检测和恢复
11.文件系统查看,支持基本的文件操作
12.查看(编辑)IE插件、SPI、启动项、服务、Host文件、映像劫持、文件关联、系统防火墙规则、IME
13.ObjectType Hook检测和恢复
14.DPC定时器检测和删除
15.MBR Rootkit检测和修复
16.内核对象劫持检测
17.其它一些手工杀毒时需要用到的功能,如修复LSP、修复安全模式等
给大家的福利
零基础入门
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
同时每个成长路线对应的板块都有配套的视频提供:
因篇幅有限,仅展示部分资料
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!