攻防演练蓝队|Windows应急响应入侵排查

日志分析

web日志

dirpro扫描目录，sqlmap扫描dvwa

shell
复制代码
Python dirpro -u http://192.168.52.129 -b
sqlmap -u "http://192.168.52.129/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#" --cookie="PHPSESSID=bs8kg7ou7ru6dj4auppq32m663;security=low" --dbs

使用星图对日志文件进行分析，发现存在漏洞攻击行为，信息具体，可视化强。

windows系统日志

日志位置

bash
复制代码
windows 2000 专业版 /windows Server2003/windows XP
系统日志 C:\Windows\System32\config\SysEvent.evt
安全性日志 C:\Windows\System32\config\SecEvent.evt
应用程序日志 C:\Windows\System32\config\AppEvent.evt

Vista/win7/win8/win10/winser2008 以上
目录 %SystemRoot%\System32\Winevt\Logs\
系统日志 %SystemRoot%\System32\Winevt\Logs\System.evtx
安全性日志 %SystemRoot%\System32\Winevt\Logs\Security.evtx
应用程序日志 %SystemRoot%\System32\Winevt\Logs\Application.evtx

事件id

事件 ID (旧版本)	事件 ID (新版本)	描述	事件日志
528	4624	成功登录	安全
529	4625	失败登录	安全
680	4776	成功 / 失败的账户认证	安全
624	4720	创建用户	安全
636	4732	添加用户到启用安全性的本地组中	安全
632	4728	添加用户到启用安全性的全局组中	安全
2934	7030	服务创建错误	系统
2944	7040	IPSEC 服务的启动类型已从禁用更改为自动启动	系统
2949	7045	服务创建	系统

日志清除相关

事件	事件 ID	事件级别	事件日志	事件来源
事件日志服务关闭	1100	信息	安全	EventLog
事件日志被清除	104	信息	系统	EventLog
事件日志被清除	1102	信息	安全	EventLog

ini
复制代码
登录成功的所有事件
LogParser.exe -i:EVT –o:DATAGRID  "SELECT *  FROM Security.evtx where EventID=4624"

指定登录时间范围的事件：
LogParser.exe -i:EVT –o:DATAGRID  "SELECT *  FROM Security.evtx where TimeGenerated>'2018-06-19 23:32:11' and TimeGenerated<'2018-06-20 23:34:00' and EventID=4624"

提取登录成功的用户名和IP：
LogParser.exe -i:EVT  –o:DATAGRID  "SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as Username,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM c:\Security.evtx where EventID=4624"

登录失败的所有事件：
LogParser.exe -i:EVT –o:DATAGRID  "SELECT *  FROM Security.evtx where EventID=4625"

文件排查

排查的几个点：

1. 回收站、浏览器下载记录、浏览器历史记录
2. 时间排序，查看最新的文件
3. 修改时间在创建时间之前的文件

temp (tmp) 相关目录

makefile
复制代码
C:\Windows\Temp

Recent 文件

Recent 存储最近打开的文件的快捷方式

makefile
复制代码
%UserProfile%\Recent
C:\Documents and Settings\test\Recent
C:\Users\test.WIN10\Recent

预读取文件查看

makefile
复制代码
C:\Windows\appcompat\Programs
查看工具 winprefetchview

粘滞键exe

查看C:\Windows\System32\下的sethc.exe文件的创建、修改时间是否正常，如下图，一般情况下，系统文件的创建时间与修改时间应相同，sethc的创建时间与修改时间不同，可确定sethc已被替换成后门文件。由于攻击者可修改文件时间，上述简单粗暴的判断方式可能不靠谱，可将sethc拷贝出来、上传至VT检测危害。

攻击日期内新增的文件

bash
复制代码
forfiles /m *.exe /d 2023/10/9 /s /c "cmd /c echo @path @fdate @ftime" 2> null

webshell

复制代码
河马查杀

进程排查

• 思路：重点检查没有厂商名字、没有签名验证信息、没有描述信息、CPU 或内存资源占用长时间过高的进程。检查可疑进程的属主、路径、参数是否合法。
• 再分析这些进程加载了什么dll、使用了什么模块，分析是否存在异常，从而判断该进程是否为一个恶意的进程。

sql
复制代码
（1）查看端口得到PID
netstat -nao
netstat -ano | findstr "ESTABLISHED"


（2）根据PID查看进程对应的程序名称
tasklist /V | findstr PID

（3）杀掉进程
taskkill /PID 3876 /F
wmic process where name="mysqld.exe" delete
wmic process where processid=3876 call terminate

发现异常文件先放进检测箱里面，发现异常连接先放在情报社区

ruby
复制代码
https://www.virustotal.com/gui/
https://x.threatbook.com/

新增、隐藏账号排查

命令行

sql
复制代码
net user
lusrmgr.msc
net localgroup Administrators

分析安全日志

css
复制代码
LogParser.exe -i:EVT –o:DATAGRID  "SELECT *  FROM Security.evtx where TimeGenerated>'2023-10-09 23:32:11' and TimeGenerated<'2023-10-10 23:34:00' and EventID=4720"

分析注册表

复制代码
HKLM\SAM\SAM\Domains\Account\Users\Names

正常情况下，上述路径的SAM权限仅system用户可查看，需要给administrator用户授权才能打开完整路径。对SAM右键、给administator用户添加完全控制权限

启动项/服务/计划任务排查

注册表启动项

复制代码
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

检测是否被映像劫持

arduino
复制代码
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
检查是否存在Debugger，且与exe文件名不一致

组策略

gpedit.msc

依次选择 【计算机配置】【Windows 设置】【脚本】【启动】

anq

系统配置的启动项

msconfig

开机启动项文件夹

makefile
复制代码
C:\Users\xxxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

服务排查

复制代码
services.msc

查看计划或定时任务

makefile
复制代码
C:\Windows\System32\Tasks\
C:\Windows\SysWOW64\Tasks\
C:\Windows\tasks\
taskschd.msc

工具

• 火绒剑 yyds，几乎包含上面的排查项
• autorun
• procexp
• 河马查杀
• LogParser.msi
• winprefetchview-x64
• xingtu_full

autorun指南

scss
复制代码
1、登录（Logon）：
此条目会扫描标准自动启动位置，例如当前用户和所有用户的启动文件夹、(Startup)运行注册表(Run Registry)项和标准应用程序启动位置。
2、资源管理器（Explorer）：
此条目显示Explorer shell 扩展、浏览器帮助对象、资源管理器工具栏、活动设置执行和 shell 执行挂钩。
3、IE浏览器（Internet Explorer）：
此条目显示浏览器帮助程序对象(Browser Helper Objects)(BHO)、Internet Explorer工具栏和扩展。
4、计划任务（Scheduled Tasks）：
任务(Task)计划程序任务配置为在引导或登录时启动。
5、服务（Services）：
它显示所有配置为在系统启动时自动启动的Windows服务。
6、驱动（Drivers）：
这将显示系统上注册的所有内核模式驱动程序，但禁用的驱动程序除外。
7、已知DLL（AppInit DLL）：
这有 Autoruns 显示注册为应用程序初始化DLL。
8、引导执行（Boot Execute）：
在启动过程早期运行的本机映像（与Windows映像相反）。
9、镜像劫持（Image Hijacks）：
图像文件执行选项和命令提示符自动启动。
10、应用初始化（AppInit）：
显示注册为应用程序初始化DLL的DLL。
11、已知的 DLL（Known DLLs）：
这会报告 Windows 加载到引用它们的应用程序中的DLL的位置。(DLLs)
12、Winlogon （win登录通知）：
显示注册登录事件的Winlogon通知的DLL 。(Shows DLLs)
13、Winsock 提供商（Winsock Providers）： 
显示已注册的Winsock 协议，包括Winsock 服务提供程序。恶意软件(Malware)通常将自身安装为Winsock 服务提供商，因为很少有工具可以删除它们。自动运行可以禁用它们，但不能删除它们。
14、LSA 提供者（LSA Providers）：
显示(Shows)注册本地安全机构(Local Security Authority)( LSA ) 身份验证、通知和安全包。
打印机监视器驱动程序（Printer Monitor Drivers）：
显示加载到后台打印服务中的DLL 。(DLLs)恶意软件(Malware)已使用此支持自动启动自身。
15、侧边栏（Sidebar Gadgets）：
显示 Windows 边栏小工具。

​最后

为了帮助大家更好的学习网络安全，小编给大家准备了一份网络安全入门/进阶学习资料，里面的内容都是适合零基础小白的笔记和资料，不懂编程也能听懂、看懂，所有资料共282G，朋友们如果有需要全套网络安全入门+进阶学习资源包，可以点击免费领取（如遇扫码问题，可以在评论区留言领取哦）~

😝有需要的小伙伴，可以点击下方链接免费领取或者V扫描下方二维码免费领取🆓

👉CSDN大礼包🎁：全网最全《网络安全入门&进阶学习资源包》免费分享（安全链接，放心点击）👈

​

1️⃣零基础入门

① 学习路线

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

② 路线对应学习视频

同时每个成长路线对应的板块都有配套的视频提供：

因篇幅有限，仅展示部分资料

2️⃣视频配套资料&国内外网安书籍、文档

① 文档和书籍资料

② 黑客技术

因篇幅有限，仅展示部分资料

👉CSDN大礼包🎁：全网最全《网络安全入门&进阶学习资源包》免费分享（安全链接，放心点击）👈

​

3️⃣网络安全源码合集+工具包

4️⃣网络安全面试题

5️⃣汇总

所有资料 ⚡️ ，朋友们如果有需要全套 《网络安全入门+进阶学习资源包》，扫码获取~

👉CSDN大礼包🎁：全网最全《网络安全入门&进阶学习资源包》免费分享（安全链接，放心点击）👈

​