Windows下的应急响应思路及其基本命令

 0 前言

        注意看，这个男人叫小帅。他在一个寂静的夜晚，月光洒在寂静的办公室里敲代码。突然，一连串神秘的电脑故障突然间打破了这里的宁静。电脑屏幕上出现了奇怪的代码，文件开始消失，网络连接也时断时续。在这个紧急关头，他将如何处理！！！

1 用户信息

1.1 查看用户信息 

• net user 命令，能查看普通用户。

1.2 查看特定用户

• net user guest 命令用于查看指定用户的信息，例如上次登录时间和密码修改时间。

1.3 查看隐藏用户

• 通过按下 WIN + R 键，输入 lusrmgr.msc ，可以打开本地用户和组，查看普通用户和隐藏用户。

1.4 查看所有用户

• 按下 WIN + R 键，输入 regedit ，打开注册表，
• 找到“\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names”这个路径，可以看到系统中的所有用户，包括隐藏用户。

---

2 启动项

        为了防止被控机器失联，很多恶意程序会把自己添加到系统启动项中，在开机时自动运行。

2.1 任务管理器查看

• 按下“Win + R”键，输入 taskmgr ，打开任务管理器。
• 点击“启动”选项卡。
• 在“启动”选项卡中，可以看到所有已启用的启动项。

2.2 注册表查看

• 按下“Win + R”键，输入 regedit ，打开注册表编辑器。
• 导航到以下路径：\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run。
• 在右侧窗格中，可以看到所有已添加的启动项。

2.3 组策略编辑器查看

• 按下“Win + R”键，输入 gpedit.msc ，打开组策略编辑器。
• 导航到以下路径：【计算机配置】-【Windows设置】-【脚本（启动/关机）】。
• 在右侧窗格中，可以看到所有已添加的启动脚本。

2.4 系统信息工具查看

• 按下“Win + R”键，输入 msinfo32 ，打开系统信息工具。
• 导航到【软件环境】-【启动程序】。
• 在右侧窗格中，可以看到所有已添加的启动项。

2.5 检查程序文件夹中的启动项

• 在左下角“开始”菜单中，找到所有程序文件夹。
• 检查其中是否有异常的启动项，如可疑的程序或文件夹。

2.6 检查用户账户的启动项

• 按下“Win + R”键，输入 netplwiz ，打开用户账户控制面板。
• 在左侧窗格中，选择要检查的账户。
• 在右侧窗格中，可以看到该账户的启动项和登录脚本。

2.7 第三方工具检查

• 可以使用一些第三方工具如火绒剑、 Autoruns、Process Explorer 等来查看和删除启动项。这些工具可以提供更详细的信息和更多的选项来管理启动项。

---

3 计划任务

        许多恶意程序会在计划任务中添加自己，以便在特定时间自动启动。可以在任务计划程序中，查看是否存在可疑或异常的计划任务。关注计划任务的触发器和操作是否符合预期。

3.1 taskschd.msc命令

• 按下“Win + R”键，输入 taskschd.msc ，然后按回车键，打开任务计划程序。

3.2 chtasks命令

• 按下“Win + R”键，输入 schtasks 命令来查看所有的计划任务。这个命令会默认展示所有的计划任务，与任务计划程序同步。

---

4 系统信息

4.1 查看系统详细信息

• 使用“WIN + R”打开运行窗口，输入 msinfo32 命令，可以打开系统信息工具，查看硬件配置、软件版本、驱动程序等详细信息。

4.2 查看系统补丁信息

• 在命令提示符下输入 systeminfo 命令，系统会显示安装的补丁信息。通过查看补丁信息，可以反推出可能的攻击方式，发现系统中未安装的补丁，从而了解系统的漏洞。

---

5 事件id分析

       通过事件查看器可以方便地查看和分析系统、安全和应用程序日志，帮助我们高效地分析和追溯攻击事件。

 5.1 事件查看器

• 按下“Win + R”键，输入 eventvwr ，然后按回车键，打开事件查看器。
• 在事件查看器中，可以通过右键点击“系统”或“安全日志”，然后选择【筛选当前日志】，根据事件ID筛选日志，以快速定位潜在的攻击事件。
• 主要分为 系统日志、安全日志、应用程序日志。

5.1.1 系统日志

        系统日志主要记录了系统组件的事件，例如驱动程序信息、应用程序崩溃信息等。当发生数据丢失的情况时，可以通过查看系统日志中的相关信息来分析原因。

• 12 系统启动
• 13 系统关闭
• 6005 事件日志服务已启动
• 6006 事件日志服务已停止

5.1.2 安全日志

        安全日志记录了系统安全相关的事件，如用户登录和注销、资源使用、策略更改等。通过查看安全日志，可以了解是否有异常的登录行为或对系统安全的策略更改。

• 1102 清理审计日志
• 4624 账号登录成功
• 4625 账号登录失败
• 4768 Kerberos身份验证
• 4769 Kerberos服务票证请求
• 4776 NTLM身份验证
• 4672 赋予特殊权限
• 4720 创建用户
• 4726 删除用户
• 4728 将成员添加到启用安全的全局组中
• 4729 将成员从安全的全局组中删除
• 4732 将成员添加到启用安全的本地组中
• 4733 将成员从启动安全的本地组中删除
• 4756 将成员添加到启用安全的通用组中
• 4757 将成员从启用安全的通用组中删除
• 4719 系统审计策略修改

5.1.3 应用程序日志

        应用程序日志则记录了应用程序产生的事件，包括微软开发的应用程序和第三方开发的基于系统的应用程序。当应用程序出现错误或异常时，可以通过查看相应的应用程序日志来分析问题的原因。

---

6 web日志

        从Web应用日志中，我们可以分析出攻击者在什么时间、使用哪个IP地址，访问了哪个网站，从而反推出攻击路径。

6.1 IIS日志

• IIS（Internet Information Services）日志通常存放在%systemroot%\system32\logfiles\W3SVC1\目录下。这些日志文件包括网站访问日志和错误日志等。

6.2 Apache日志

• Apache（服务器软件）的日志存放在<Apache安装路径>/apache/logs/目录下，其中包括access.log（网站访问日志）和error.log（错误日志）。

6.3 Tomcat日志

• Tomcat（Java Servlet容器）的日志存放在<Tomcat安装路径>/logs目录下。

6.4 Weblogic日志

• WebLogic（Java应用服务器）的8.x版本的日志存放在<WebLogic安装路径>\user_projects\domains\目录下；
• 9及以后版本的日志存放在<WebLogic安装路径>\user_projects\domains\servers\logs\目录下。

6.5 Jboss日志

• Jboss（开源Java应用服务器）的日志存放在<Jboss安装路径>/server/default/log/目录下。

6.6 Nginx日志

• Nginx（高性能Web服务器）的日志默认存放在/usr/local/nginx/logs/目录下，包括access.log和error.log。

---

7 网络分析

7.1 网络连接情况

• netstat -ano 命令可以用来查看当前系统的网络连接情况，它显示了所有当前活动的TCP和UDP连接，以及监听端口的状态。
• 其中，“LISTENING”表示端口处于监听状态，即有服务正在该端口上等待客户端的连接。

7.2 指定端口情况

• netstat -ano | findstr "443"命令则是用来查找所有与端口443有关的连接。
• 这个命令会列出所有在443端口上建立的网络连接，无论它们是TCP连接还是UDP连接。

---

8 进程分析

8.1 查看运行进程

• 使用 tasklist 命令可以查看计算机上正在运行的进程。该命令有多个选项，可以用于显示详细信息、进程和服务的对应关系、加载的DLL文件以及指定DLL的调用情况等。

tasklist /v ：显示所有字段的详细信息。
tasklist /svc：显示进程和服务的对应关系。
tasklist /m：显示加载的DLL文件。
tasklist /m ntdll.dll：查看指定DLL文件的调用情况。

8.2 查看进程详细情况

• 使用 wmic process 命令可以用于查看进程，并提供比“tasklist”更详细的信息。使用该命令，可以根据应用程序名称查找进程ID（PID），也可以根据PID查找应用程序。

根据应用程序查找PID：wmic process where name=“cmd.exe” get processid，executablepath，name。
根据PID查找应用程序：wmic process where processid=“12188” get processid，executablepath，name。

8.3 查看当前运行服务

• 使用 net start 命令可以查看当前正在运行的服务。该命令将列出所有已启动的服务的名称和状态。

8.4 查看远程连接情况

• 使用 net use 命令用于查看计算机上的远程连接。通过该命令，可以查看与远程计算机或共享资源建立的连接，并管理这些连接。

---

9 文件痕迹

        在Windows系统中，有一些敏感目录需要引起特别关注，这些目录可能有助于发现潜在的攻击路径。

9.1 最近打开文件

• 按下“WIN + R”键，输入 %UserProfile%\Recent ，可以打开Recent目录。
• 这里记录了最近打开的文件。攻击者可能会利用这些信息来寻找用户的敏感文件。

9.2 打开临时目录

• 按下“WIN + R”键，输入 %temp% ，可以打开Windows的临时目录。
• 这个目录中的文件通常具有当前登录用户的读写权限，因此可能被攻击者利用来提权。需要特别检查这里是否有可疑的exe、dll、sys文件或异常大的文件。

9.3 打开预读取文件夹

• 按下“WIN + R”键，输入 %systemroot%\Prefetch ，可以打开预读取文件夹。
• 这里存储了系统已经访问过的文件的信息，以便在下次访问时可以更快地加载。这可能帮助攻击者了解系统的活动和已访问的资源。

9.4 查看浏览器浏览记录

• 查看浏览器的浏览记录、下载记录和Cookie信息也可能提供有关用户活动的敏感信息，攻击者可以利用这些信息进行进一步的攻击。

9.5 使用工具查杀

• 使用杀毒软件和其他工具查杀可疑文件是检测和清除恶意软件的重要步骤。如果怀疑是驱动类型的病毒，需要使用专门的工具（如奇安信顽固病毒专杀工具、360急救箱等）。