应急响应篇-Windows 文件排查

已于 2024-03-23 11:08:50 修改
阅读量260 收藏 5
点赞数 3
分类专栏: 应急响应 文章标签: windows 网络
于 2024-03-21 20:01:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cavathon/article/details/136919028
版权

1、敏感目录

  1. 各个盘下的 temp(tmp) 相关目录 ,不同系统版本的临时文件目录的路径相对统一,恶意程序一般会投放在临时文件目录。一般查看临时目录下是否有隐藏文件。
  2. 排查攻击者在本地下载的工具,重点排查浏览器的历史记录、下载文件和cookie信息。
  3. 查看用户的 Recent 文件。Recent 文件存储了最近运行文件的快捷方式。一般存储位置为
C:\Users\用户名\Recent   
C:\Users\用户名\AppData\Roaming\Microsoft\Windows\Recent

请添加图片描述

  1. 预读取文件夹查看。Prefetch是预读取文件夹,位置在%SystemRoot%\Prefetch\,在运行窗口输入%SystemRoot%\Prefetch\可打开Prefetch文件夹。
    请添加图片描述
    请添加图片描述

也可通过Amcache.hve文件查询应用程序的执行路径,上次执行时间和SHA1值,在运行窗口中输入%SystemRoot%\appcompat\Programs可打开Amcache.hve所在文件夹。
请添加图片描述
请添加图片描述

2、时间点查找
使用forfiles查找相应文件
如图为forfiles常用参数
请添加图片描述

如图为forfiles使用,查找2024/2/19之后的exe新建文件进行搜索
请添加图片描述

也可以对文件的创建时间、修改时间、访问时间进行排查,如果文件的相关时间存在逻辑问题,就极有可能是恶意文件。

3、Webshell
对Webshell的排查可使用相关工具,如D盾、HwsKill等。
如图为D盾查杀到shell:
请添加图片描述

yueyaf
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
应急响应-攻击入侵排查 教学PPT
11-17
应急响应-攻击入侵排查 被入侵的症状 解读WEB、系统日志 WEBshell的特征 检查工具的介绍
应急响应】Linux入侵排查思路
09-18
应急响应】Linux入侵排查思路: 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程...
应急响应-Windows 进程排查及服务排查
cavathon的博客
03-17 642
DLL(动态链接库)是Windows系统中的一种共享库,与代码概念中的类有一定思维上的重合,大致用于代码重用,模块化设计,更新维护等功能。打开任务管理器,添加命令行和路径名称等进程页列,获得更多进程相关信息。可通过关注进程的路径名称和命令行是否可以判断。挖矿病毒允许时页伴随着CPU占用飙升的情况。来查找PID为900的进程及其对应的服务。tasklist还有过滤器的功能、使用。可以显示进程与服务的对应情况。可以查询调用指定DLL的进程。可显示进程与其加载的DLL。命令可查看所有进程信息。
应急响应--windows主机入侵排查思路
weixin_55821558的博客
06-14 2306
在之前的工作和护网期间,工程师们在实施主机入侵入侵排查工作的时候,常常会面临时间紧、任务急,需要排查的主机数量众多的情况,为了确保实施人员在有限的时间范围内,可以高效且保证质量的前提下完成主机入侵排查工作。结合大佬们的叙述和自己的体会作如下总结,仅供参考。1.初步筛选排查资产一般情况下,客户资料都比较多,想要对所有的资产主机进行入侵痕迹排查基本不太现实,等我们全部都排查完了,攻击者该做的事早就做完了,想要的目的也早就达到了,所以我简单说一下我的思路:首先,在排查前,作为项目经理,应该和客户沟通好,取得授权,
网络安全工程师必知:系统敏感目录一览
网络安全
04-09 1084
网络安全应急响应过程中,对系统进行整体的安全排查至关重要。恶意文件往往隐藏在系统的一些敏感目录中,因此,了解这些目录对于提高恶意文件排查的效率至关重要。这些目录中包含了系统配置、日志、临时文件以及用户数据等关键信息,可能被攻击者利用来隐藏或执行恶意文件。因此,在安全排查中,安全团队需要仔细检查这些目录,查找任何异常或可疑文件,并进行进一步的分析和处理。利用安全工具进行自动化扫描是一种有效的方式,但也需要结合人工审查来发现隐藏的恶意文件。定期审查敏感目录并建立巡检机制有助于及早发现和应对潜在的安全威胁。
往年HW护网面试题收集(全网最全5万字)
weixin_65633498的博客
04-13 1865
近五万多字的往年护网面试题收集
2023年全国职业院校技能大赛-信息安全管理与评估-赛题 1
wangluoanquan111的博客
03-29 1123
竞赛有固定的开始和结束时间,参赛队伍必须决定如何有效的分配时间。请认真阅读以下指引!(1)当竞赛结束,离开时请不要关机;(2)所有配置应当在重启后有效;(3)请不要修改实体机的配置和虚拟机本身的硬件设置。
网络安全应急响应----2、Windows入侵排查
七天
03-17 5690
文章目录一、系统排查1、系统信息2、​​用户信息3、启动项4、计划任务5、服务自启动二、进程、端口排查1、进程排查2、端口排查三、文件痕迹排查1、敏感目录文件2、基于时间点查找四、日志分析1、系统日志2、安全性日志3、应用程序日志五、内存分析六、流量分析 一、系统排查 1、系统信息 //可以显示本地计算机的硬件资源、组件、软件环境、正在运行的任务、服务、系统驱动程序、加载模块、启动程序等。 C:\Users\test>msinfo32 //Microsoft系统信息工具:Msinfo32.
应急响应-文件痕迹排查
懂进攻知防守
11-21 1031
应急响应排查的过程中,由于大部分的恶意软件、木马、后门等都会在文件维度上留下痕迹,因此对文件痕迹的排查必不可少。时间点查找应急响应事件发生后,需要先确认事件发生的时间点,然后排查时间点前后的文件变动情况,从而缩小排查的范围。通过列出攻击日期内变动的文件,可以发现相关的恶意软件。系统中的恶意文件存在特定的设置、和关键字信息等。
应急响应windows入侵排查
yj520400的博客
03-21 1084
的存在,在入侵系统后,攻击者可以在计算机上开启专属的端口来访问被害主机或植入病毒用于挖矿等,熟悉计算机的朋友应该都知道常用的端口也就那么几个,所以通过排查可疑端口能确定主机是否存在后门、是否被植入挖矿病毒等,再根据端口的PID对可疑进程对应的程序排查,确定是否为恶意程序。webshell和病毒都是windows系统的大敌,它们可以维持攻击者的系统权限、盗窃资料、感染其他主机、加密文件等,对操作系统造成非常大的危害。而与此同时操作系统也会出现异常,包括账户、端口、进程、网络、启动、服务、任务以及文件等,
Windows应急响应排查基础.zip
02-11
Windows应急响应排查基础 简单的应急这足够解决 包含如下工具 windows日志分析工具 包含如下文档 Windows 日志记录配置.docx [应急响应] windows,入侵排查思路.docx Windows日志登录类型.docx windows应急响应...
Linux应急响应辅助排查脚本
10-20
Linux应急响应辅助排查脚本 一键运行导出日志 将该脚本下载并移动到Linux任意文件夹,以root权限运行即可导出result.log辅助快速应急响应主机排查。 可使用此脚本用于分析日常服务器差异及被攻击行为。
Linux应急响应排查基础.zip
02-11
Linux应急响应排查基础 包含如下7分文档 数据采集.docx history.docx 日志查看命令.docx PS.docx linux应急响应checkList.docx Linux应急响应.docx Linux日志系统.docx
黑马聚合的分类及实现
weixin_51920385的博客
05-28 518
聚合是对文档数据的统计、分析、计算聚合的常见种类有哪些?
centos7防火墙入站白名单配置
守护万家灯火
05-28 202
添加信任的源IP和开放端口。
领域驱动设计(DDD)学习笔记之:战术设计
最新发布
www_tlj的专栏
05-28 761
聚合根是聚合内部的一个特殊实体,作为聚合的唯一入口点,负责聚合内的所有操作和状态变更。聚合根通过维护聚合内对象的引用和关系,确保聚合的一致性和业务规则的完整性。聚合根在DDD中扮演着重要角色,它作为聚合的入口点和主要控制者,负责管理聚合内部的对象和业务逻辑,确保聚合的一致性和完整性。通过合理设计和使用聚合根,可以有效提升领域模型的清晰性和可维护性。在实际项目中,持续关注和优化聚合根的设计,确保其符合业务需求和系统发展的需要。
STL源码刨析:序列式容器之list
weixin_67035108的博客
05-28 629
list的迭代器定义和结构。
Windows应急响应排查
07-30
在进行Windows应急响应排查时,可以采取以下步骤: 1. 检查启动项:查看注册表中的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce键,删除异常的启动项目。同时,建议安装杀毒软件进行病毒查杀,清除残留病毒或木马。还可以使用安全软件查看启动项和管理开机时间。 2. 检查计划任务:在任务计划中查看计划任务属性,可以发现木马文件的路径。同时,通过运行`cmd`命令,输入`at`命令,检查计算机与网络上的其他计算机之间的会话或计划任务,确认是否为正常连接。 3. 检查服务自启动:通过运行`services.msc`命令,查看服务状态和启动类型,检查是否有异常服务。 4. 检查系统相关信息:通过运行`systeminfo`命令,查看系统版本以及补丁信息。此外,还可以查找可疑目录和文件,特别是在用户目录下查看是否有新建用户目录。 5. 检查注册表中的开机启动位置:包括HKLM\Software\Microsoft\Windows\CurrentVersion\Runonce、HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run、HKLM\Software\Microsoft\Windows\CurrentVersion\Run、HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run、HKCU\Software\Microsoft\Windows\CurrentVersion\Run、HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce、(ProfilePath)\Start Menu\Programs\Startup、任务管理器的启动选项卡、运行`msconfig`查看启动选项卡,以及运行`gpedit.msc`在本地组策略编辑器中查看开机运行脚本。 以上是进行Windows应急响应排查时的一些常用步骤和方法。根据具体情况,还可以结合其他工具和技术进行更深入的排查。[1][2][3]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值