系统入侵排查(一) Windows入侵排查

最新推荐文章于 2024-10-18 13:50:49 发布
最新推荐文章于 2024-10-18 13:50:49 发布
阅读量862 收藏 6
点赞数 2
分类专栏: 系统入侵排查 文章标签: windows 网络安全 安全 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Hey_1_Kong/article/details/132129733
版权

Windows入侵排查


Windows 系统被入侵后,通常会导致系统资源占用过高、异常端口和进程、可疑的账号或文件等,给业务系统带来不稳定等诸多问题。一些病毒木马会随着计算机启动而启动并获取一定的控制权,启动方式多种多样,比如注册表、服务、计划任务等,这些都是需要重点排查的地方。另外,需要重点关注服务器日志信息,并从里面挖掘有价值的信息

系统账号

  1. 排查弱口令,可以访谈相关人员询问是否设置弱口令
  2. 排查可疑账号、隐藏账号
    • 打开 cmd 窗口,输入lusrmgr.msc命令,打开“本地用户和组”
      • 点击“用户”,查看是否有未知的新增的用户、隐藏用户,如有,请立即禁用或删除掉
        在这里插入图片描述
      • 查看管理员群组(Administrators)里的是否有未知的新增账户,如有,请立即禁用或删除掉
        在这里插入图片描述
  3. 排查克隆账号
    • 访问HKEY_LOCAL_MACHINE\SAM ,第一次访问没有权限无法看到SAM下面的内容,需要为Administrator设置完全控制的权限,而后重新打开注册表,即可成功查看
      在这里插入图片描述
    • 访问HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names,即可查看所有用户
      在这里插入图片描述

异常端口与进程

  1. 查看有无异常端口连接
  • 使用 netstat 查看异常连接,并查找到pid

    使用netstat命令查看本机各端口的网络连接情况
    常用参数:
    -a       显示所有连接和监听端口
    -n       以数字形式显示地址和端口号
    -o       显示与每个连接相关的所属进程 ID
    -p proto       显示 proto 指定的协议的连接,TCP 、UDP等

在这里插入图片描述

  • 查看有无主机连接该主机重要的端口,例如 22,3389等
  • 看连接中的异常 IP 地址,使用微步在线等在线危险情报平台进行检索
    在这里插入图片描述
  • 通过使用 tasklist 查找指定进程号的进程
    在这里插入图片描述
  1. 检查异常进程
  • 打开“任务管理器”,查看资源(CPU、内存、磁盘等)使用率较高的进程
  • 使用 “win + r” -> 运行-> 输入 msinfo32 ,打开系统信息,点击“软件环境→正在运行任务”,查看到进程的详细信息,比如进程路径、进程ID、文件创建日期、启动时间等
    在这里插入图片描述

启动项与计划任务

  1. 启动项
  • 使用 win + r ,打开运行,输入 msconfig,打开系统配置,查看是否存在命名异常的启动项目,若存在则取消勾选命名异常的启动项目,并到命令中显示的路径删除文件在这里插入图片描述
    注意:微软官方在Windows 7以后取消了这个”启动项”,可以设置组策略启用,点击“开始”→“运行”,输入“gpedit.msc”,打开“组策略”→“本地计算机策略”,展开“用户配置→管理模板→系统→登录”,双击“在用户登录时运行这些程序”子项进行属性设置
  • 查看注册表,查看以下三个对应项

    • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
      在这里插入图片描述

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
      在这里插入图片描述

    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
      在这里插入图片描述

  1. 计划任务
  • 打开“控制面板->管理工具->任务计划程序”,查看有无异常计划任务
    在这里插入图片描述
  1. 服务自启动
  • win + r ,输入 services.msc,打开服务管理,查看服务启动情况
    在这里插入图片描述

日志分析

  1. 主要日志
  • %SystemRoot%\System32\Winevt\Logs\System.evtx ,系统日志
  • %SystemRoot%\System32\Winevt\Logs\Security.evtx ,安全日志
  • %SystemRoot%\System32\Winevt\Logs\Application.evtx ,应用程序日志
  1. 查看日志
  • 常见事件ID

    4624 登录成功
    4625 登录失败
    4647 用户注销
    4720 创建用户
    4672 使用超级用户(管理员)登录
    4634 注销成功
    7030 服务创建错误
    7040 IPSEC服务的启动类型已从禁用改为自动启动
    7045 服务创建

  • 使用 “win + r” 打开运行,输入 eventvwr.msc 直接打开“事件查看器”
    结合Windows安全日志,查看管理员登录时间、用户名是否存在异常。
    根据大量登录失败事件判断出某账号被进行暴力破解
    在这里插入图片描述

文件分析

  1. 查看有无新建的用户文件夹

    Window 2003 C:\Documents and Settings
    Window 2007及以后 C:\Users\

  2. “win + r”>【运行】,输入%UserProfile%\Recent,分析最近打开分析可疑文件
    在这里插入图片描述
  • 根据实际情况排查主机上重要的目录,可根据文件夹内文件列表时间进行排序,查找可疑文件
  • 查看回收站、浏览器下载目录、浏览器历史记录
  • 查看修改时间在创建时间之前的为可疑文件
  • 发现一个WEBSHELL或远控木马的创建时间,可以利用计算机自带文件搜索功能,指定修改时间进行搜索

自动化查杀

病毒查杀
下载安全软件,更新最新病毒库,进行全盘扫描

网安小白菜
关注
专栏目录
Windows入侵排查思路手段
Lelouch_E的博客
11-04 1212
第1篇:window入侵排查 0x00 前言 ​ 当企业发生黑客入侵系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。 常见的应急响应事件分类: web入侵:网页挂马、主页篡改、Webshell 系统入侵:病毒木马、勒索软件、远控后门 网络攻击:DDOS攻击、DNS劫持、ARP欺骗 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些W
Windows以及Linux的入侵排查
qq_60600840的博客
06-03 807
对于系统或者应用发生了安全事件之后的处理应急响应的处理分为事前和事后处理数据备份、风险评估、安全培训、应急演练等病毒检测、后门检测、系统恢复、清除病毒以及后门程序、调与追踪、入侵者取证等。后门
应急响应之windows入侵排查
ewii12567的博客
10-07 1153
我们在做应急响应时还是需要多从攻击者的角度去思考问题,知己知彼方能百战不殆,那么针对windows系统入侵排查就介绍到这里,欢迎各位大佬在评论区留言。
应急响应 - Windows 入侵排查
战神/calmness的博客
01-12 1259
windows 入侵排查 前言 当企业发生黑客入侵系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。 常见的应急响应事件分类: Web 入侵:网页挂马、主页篡改、Webshell 系统入侵:病毒木马、勒索软件、远控后门 网络攻击:DDOS 攻击、DNS 劫持、ARP 欺骗 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 Windo
Windows入侵排查
Williamanddog的博客
02-08 697
当企业发生黑客入侵系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企 业的网络信息系统在最短时间内恢复正常工作,进一步入侵来源,还原入侵事故过程,同时给出解 决方案与防范措施,为企业挽回或减少经济损失。 常见的应急响应事件分类: Web入侵:网页挂马、主页篡改、Webshell 系统入侵:病毒木马、勒索软件、远控后门 网络攻击:DDOS 攻击、DNS 劫持、ARP 欺骗 使用环境:Windows 7。
Windows操作系统安全入侵排查
09-30
课程还介绍了针对系统入侵的应急排查步骤和要求,主要涉及的排查内容包括:检系统应用日志、检账户、检文件、检系统启动项和计划任务、检进程和网络连接、检是否存留后门等恶意程序,根据上述检内容...
Linux操作系统安全入侵排查
09-30
课程还介绍了针对系统入侵的应急排查步骤和要求,主要涉及的排查内容包括:检系统日志及命令记录 、检账户、检文件、检系统启动项和计划任务、检进程和网络连接、检是否存留后门等恶意程序,根据上述...
Linux入侵排查.docx
05-07
Linux 入侵排查是指在 Linux 系统中检测和处理黑客入侵系统崩溃或其他影响业务正常运行的安全事件的过程。快速响应和处理这些事件对于保护企业的网络信息系统和减少经济损失至关重要。 0x00 前言 在企业发生黑客...
windows日志分析#linux日志分析#web日志分析#windows入侵排查#linux入侵排查
09-01
在IT安全领域,日志分析和入侵排查是至关重要的任务,尤其对于系统管理员和网络安全专家而言。本篇文章将深入探讨Windows、Linux以及Web日志分析和相关入侵排查的知识点。 首先,我们来看Windows日志分析。Windows...
第1篇:windows 入侵排查
大熊
06-09 552
应急响应
Window入侵排查思路
qq_46202048的博客
04-03 7235
一、开机启动项 1、在Windows系统看启动项,首先要排查的就是开机自启项。 • 开始菜单里的程序中的自启 • C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup • 看应用程序中是否存在陌生的程序或者可疑程序(非机主自己安装)。 2、可以通过msconfig看启动项,win10系统的启动项转移到任务管理器中看了 • 看是否存在可疑项 3、看缓存文件 C盘一般在C
网络安全应急响应----2、Windows入侵排查
七天
03-17 6296
文章目录一、系统排查1、系统信息2、​​用户信息3、启动项4、计划任务5、服务自启动二、进程、端口排查1、进程排查2、端口排查三、文件痕迹排查1、敏感目录文件2、基于时间点找四、日志分析1、系统日志2、安全性日志3、应用程序日志五、内存分析六、流量分析 一、系统排查 1、系统信息 //可以显示本地计算机的硬件资源、组件、软件环境、正在运行的任务、服务、系统驱动程序、加载模块、启动程序等。 C:\Users\test>msinfo32 //Microsoft系统信息工具:Msinfo32.
Window 入侵排查
Beret-81的博客
01-31 2298
通过PowerShell进行询最常用的两个命令是【Get-EventLog】和【Get-WinEvent】,两者的区别是【Get-EventLog】只获取传统的事件日志,而【Get-WinEvent】是从传统的事件日志(如系统日志和应用程序日志)和新Windows事件日志技术生成的事件日志中获取事件,其还会获取Windows事件跟踪(ETW)生成的日志文件中的事件。Windows系统中的进程排查,主要是找到恶意进程的PID、程序路径,有时还需要找到PPID(PID的父进程)及程序加载的DLL。
【应急响应】windows入侵排查思路
zhaoxhcqupt的专栏
04-21 747
0x00 前言 当企业发生黑客入侵系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。 常见的应急响应事件分类: web入侵:网页挂马、主页篡改、Webshell 系统入侵:病毒木马、勒索软件、远控后门 网络攻击:D...
windows入侵排查
江小白
07-02 1136
msinfo32 命令①系统信息工具:输入 msinfo32 命令,打开系统摘要信息窗口② 正在运行的任务:系统摘要 ->软件环境 ->正在运行的任务,可以看到正在运行的任务名称、路径、进程ID等信息③ 服务:在系统摘要 ->软件环境 -> 服务 选项,看服务的名称、状态、路径等信息④ 系统驱动程序:软件环境 -> 系统驱动程序,可以系统驱动程序的名称、描述、文件等信息⑤ 加载的模块:软件环境 ->加载的模块,看加载的模块的名称、路径等信息。
windows入侵排查1
最新发布
qq_61752701的博客
10-18 1116
1.在基础排查时可以使用Microsoft系统信息工具,在命令行中输入msinfo32命令2.若只简单了解系统信息,可以在命令行中输入systeminfo(要用管理员运行,要不可能会出现闪退)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值