Windows入侵排查

当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时，急需第一时间进行处理，使企 业的网络信息系统在最短时间内恢复正常工作，进一步查找入侵来源，还原入侵事故过程，同时给出解 决方案与防范措施，为企业挽回或减少经济损失。 常见的应急响应事件分类： Web入侵：网页挂马、主页篡改、Webshell 系统入侵：病毒木马、勒索软件、远控后门 网络攻击：DDOS 攻击、DNS 劫持、ARP 欺骗

使用环境：Windows 7

针对常见的攻击事件，结合工作中应急响应事件分析和解决的方法，常见 Windows 服务器入侵排查的 思路如下。

1.检查系统账号安全

（1、查看服务器是否有弱口令，远程管理端口是否对公网开放 检查方法：据实际情况咨询相关服务器管理员。 （2、查看服务器是否存在可疑账号、新增账号 检查方法：打开 cmd 窗口，输入 lusrmgr.msc 命令，查看是否有新增/可疑的账号，如有管理员群组 的（Administrators）里的新增账户，请立即禁用或删除。

我们通过net user /add 来添加账号，如果末尾添加$,说明这是一个隐藏账号，通过net user 查看是无法发现隐藏账号的

但是我们lusrmgr.msc打开本地用户，则可以发现隐藏用户，如果有异常用户则将其删除

（3、查看服务器是否存在隐藏账号、克隆账号 检查方法： a、打开注册表 ，查看管理员对应键值 b、使用D盾_web查杀工具，集成了对克隆账号检测的功能 （已将D盾上传到资源中）

（4、结合日志，查看管理员登录时间、用户名是否存在异常 检查方法： a、Win+R 打开运行，输入"eventvwr.msc"，回车运行，打开“事件查看器”。

b、导出 Windows 日志 -- 安全，利用微软官方工具 Log Parser 进行分析。 工具下载地址：https://www.microsoft.com/en-us/download/details.aspx?id=24659 （已上传到资源）

示例：

LogParser.exe -i:evt "select top 100 * from D:\离线工具\Security.evtx " - o:DATAGRID 参数使用 -i:<输入源> 中间部分，sql语句 -o:<输出格式>

2.检查异常端口、进程

(1、检查网络连接情况，是否有远程连接、可疑连接 检查方法： a、使用 netstat -ano 命令查看目前的网络连接，定位可疑的 ESTABLISHED

ESTABLISHED：完成连接并正在进行数据通信的状态。 LISTENING：表示处于侦听状态，就是说该端口是开放的，等待连接，但还没有被连接。 CLOSE_WAIT：对方主动关闭连接或者网络异常导致连接中断。 TIME_WAIT：我方主动调用close()断开连接，收到对方确认后状态变为TIME_WAIT。

我已经提前用kali连接了一个后门

b、根据 netstat 命令定位出的 PID 编号，再通过 tasklist 命令进行进程定位 tasklist | findstr "PID"

可以进一步去任务管理器中确认（不一定能找到）

（2、进程

检查方法：依据进程名称查看是否有可疑进程，比如5555.exe可能是木马。 tasklist /svc

a、开始 -- 运行 -- 输入 msinfo32 命令，依次点击 "软件环境 -- 正在运行任务" 就可以查看到进程的详 细信息，比如进程路径、进程ID、文件创建日期以及启动时间等。

b、打开D盾_web查杀工具，进程查看，关注没有可疑信息的进程

c、通过微软官方提供的 Process Explorer 等工具进行排查 工具下载地址：https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer

d、查看可疑的进程及其子进程 可以通过观察以下内容 ： 没有签名验证信息的进程 没有描述信息的进程 进程的属主 进程的路径是否合法 CPU或内存资源占用长时间过高的进程（比如挖矿）

常用命令： 1）查看端口对应的 PID：netstat -ano | findstr "port" 2）查看进程对应的 PID：任务管理器 -- 查看 -- 选择列 -- PID 或者 tasklist | findstr "PID" 3）查看进程对应的程序位置： 任务管理器 -- 选择对应进程 -- 右键打开文件位置 运行输入wmic，cmd 界面输入 process 4）tasklist /svc 进程 -- PID -- 服务 5）查看Windows服务所对应的端口： %systemroot%/system32/drivers/etc/services（一般 %systemroot% 就是 C:\Windows 路径）

3.检查启动项、计划任务、服务

检查服务器是否有异常的启动项 检查方法： a、登录服务器，单击【开始】>【所有程序】>【启动】，默认情况下此目录在是一个空目录，确认是 否有非业务程序在该目录下。 b、单击开始菜单 >【运行】，输入 msconfig ，查看是否存在命名异常的启动项目，是则取消勾选命 名异常的启动项目，并到命令中显示的路径删除文件。

c、单击【开始】>【运行】，输入 regedit，打开注册表，查看开机启动项是否正常，特别注意如下三 个注册表项： HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

检查右侧是否有启动异常的项目，如有请删除，并建议安装杀毒软件进行病毒查杀，清除残留病毒或木 马。 d、利用安全软件查看启动项、开机时间管理等。 e、组策略，运行 gpedit.msc