文件排查
3.1.1文件分析
windows系统通过以下三种方式查看开机启动项
1.利用操作系统中的启动菜单
2.利用系统配置msconfig查看
3.利用注册表regedit查看
3.1.2临时文件
temp使指系统临时文件夹。在windows中,temp文件夹主要分布在以下三个位置
1.C:\Windows\Temp
2.C:\Users\Administrator\Local Settings\Temp
3.C:\Users\Adminstrator\AppDate\Local\Microsoft\Windows\Temporary internet Files\(默认为隐藏目录)
查看文件夹下的PE文件(exe,dll,sys)查看是否有特别大的tmp文件
win+r运行行下直接输入%temp%就可以直接到达temp目录文件下
发现可疑文件,如何检验是否为恶意文件
将可疑文件上传到在线网站http://www.virustotal.com 或微步云沙箱http://s.threatbook.cn/进行查看,检查是否为恶意文件
文件属性的时间属性
--创建时间
--修改时间
--访问时间
如果修改时间早于创建时间则存在嫌疑,因为可以用菜刀等工具进行修改时间
最近打开文件分析
系统会记录系统中最近打开使用文件的快捷方式
--win+e -- C:\Documents and setting\Administrator\Recent 或者C:\User\Administrator\Recent
--win+r -- %UserProfile%\Recent
进程排查
状态 含义
listening 监听,表示端口开放提供服务
closing 关闭
time wait 正在等待连接 正在向端口发送请求连接状态
established 已经连接 正在通信交换数据
查看所有的端口占用情况命令netstat -ano
参数说明
-a 显示所有网络连接,路由表和网络接口信息
-n 以数字形式显示地址和端口号
-o 显示与每个连接相关的所属进程ID
-r 显示路由表
-s 显示按协议统计信息,默认地,显示IP
3.2.2 进程排查案例
1.查看所有端口占用情况命令netstat -ano
2.查看端口中状态为established的命令的pid值
3.指定pid值的查询:netstat -ano|findstr “****”(pid值) tasklist|"***"(pid值)
4.进行杀死该进程:taskkill/f/t/im 程序名(通过3可以查到可疑的程序名)
查询进程
-wmic process
删除进程
-wmic process where processid=“****” delete
查询服务
-wmic SERVICE
启动枚举项
-wmic startup list full
计划任务枚举
-schtasks /query/fo table/v(执行前先执行chcp 437)
系统信息排查
查看环境变量和任务计划程序
**windows账号信息,如隐藏账号-开始-运行-compmgmt.msc-本地用户和组-用户(以$为结尾的使隐藏用户)
**命令行方式:net user,可以直接收集用户信息,查看某个用户的详细信息,使用命令-net user username
**查看当前系统用户的会话使用-query user 查看当前系统 的会话 ,比如查看是否有人使用远程终端登录服务器
**logoff提出该用户
**查看systeminfo信息,系统版本以及补丁信息
工具排查(了解)
例如procexp,进程标识颜色不同使用于区分进程状态和进程类型,进程开始启动为绿色,结束时为红色
日志排查
windows日志包括:登录日志,安全日志,中间件日志。