1、敏感目录
- 各个盘下的 temp(tmp) 相关目录 ,不同系统版本的临时文件目录的路径相对统一,恶意程序一般会投放在临时文件目录。一般查看临时目录下是否有隐藏文件。
- 排查攻击者在本地下载的工具,重点排查浏览器的历史记录、下载文件和cookie信息。
- 查看用户的 Recent 文件。Recent 文件存储了最近运行文件的快捷方式。一般存储位置为
C:\Users\用户名\Recent
C:\Users\用户名\AppData\Roaming\Microsoft\Windows\Recent
- 预读取文件夹查看。Prefetch是预读取文件夹,位置在
%SystemRoot%\Prefetch\
,在运行窗口输入%SystemRoot%\Prefetch\
可打开Prefetch文件夹。
也可通过Amcache.hve文件查询应用程序的执行路径,上次执行时间和SHA1值,在运行窗口中输入%SystemRoot%\appcompat\Programs
可打开Amcache.hve所在文件夹。
2、时间点查找
使用forfiles
查找相应文件
如图为forfiles
常用参数
如图为forfiles
使用,查找2024/2/19之后的exe新建文件进行搜索
也可以对文件的创建时间、修改时间、访问时间进行排查,如果文件的相关时间存在逻辑问题,就极有可能是恶意文件。
3、Webshell
对Webshell的排查可使用相关工具,如D盾、HwsKill等。
如图为D盾查杀到shell: