应急响应基础笔记（一）——应急响应之Windows入侵排查

版权声明：本文为博主原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接和本声明。

本文链接： https://blog.csdn.net/qq_38684504/article/details/97751283

常见的应急响应事件分类：

web入侵：网页挂马、主页篡改、webshell；

系统入侵：病毒木马、勒索软件、远控后门；

网络攻击：DDOS攻击、DNS劫持、ARP欺骗；

一、Windows入侵排查思路

（1）检查系统账号安全

1、检查服务器是否有弱口令，远程管理端口是否对公网开放等；

• 检查方法：根据实际情况咨询相关服务器管理员；

2、查看服务器是否存在可疑账号、新增账号；

• 检查方法：打开 cmd 窗口，输入lusrmgr.msc命令，查看是否有新增/可疑的账号；

3、查看服务器是否存在隐藏账号、克隆账号；

• 检查方法：
• a、
  1）在桌面打开运行（可使用快捷键 win+R），输入 regedit，即可打开注册表编辑器；
  2）选择 HKEY_LOCAL_MACHINE/SAM/SAM，默认无法查看该选项内容，右键菜单选择权限，打开权限管理窗口；
  3）选择当前用户（一般为 administrator），将权限勾选为完全控制，然后确定。关闭注册表编辑器；
  4）再次打开注册表编辑器，即可选择 HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users；
  5）在 Names 项下可以看到实例所有用户名，如出现本地账户中没有的账户，即为隐藏账户，在确认为非系统用户的前提下，可删除此用户。

• b、使用D盾_web查杀工具，集成了对克隆账号检测的功能；

4、结合日志，查看管理员登录时间、用户名是否存在异常；

（2）检查异常端口、进程

1、检查端口连接情况，是否有远程连接，可疑连接；

• 检查方法：netstat -ano 查看目前的网络连接，定位可疑的ESTABLISHED； 再通过tasklist命令进行进程定位：tasklist | findstr  "PID"；

2、进程

• 检查方法：a、开始--运行--输入msinfo32，依次点击“软件环境→正在运行任务”就可以查看到进程的详细信息，比如进程路径、进程ID、文件创建日期、启动时间等。

• b、打开D盾_web查杀工具，进程查看，关注没有签名信息的进程。

• c、查看可疑的进程及其子进程。可以通过观察以下内容：

 
 

   
   

    
    

   
   
   
   

    
    

     
           没有签名验证信息的进程
    
    
   
   

   
   

    
    

   
   
   
   

    
    

     
           没有描述信息的进程
    
    
   
   

   
   

    
    

   
   
   
   

    
    

     
           进程的属主
    
    
   
   

   
   

    
    

   
   
   
   

    
    

     
           进程的路径是否合法
    
    
   
   

   
   

    
    

   
   
   
   

    
    

     
           CPU或内存资源占用长时间过高的进程
    
    
   
   
 
 

 （3）检查启动项、计划任务、服务

1、检查服务器是否有异常的启动项

• 检查方法：a、登录服务器，单击【开始】>【所有程序】>【启动】，默认情况下此目录在是一个空目录，确认是否有非业务程序在该目录下；

• b、单击开始菜单 >【运行】，输入 msconfig，查看是否存在命名异常的启动项目，是则取消勾选命名异常的启动项目，并到命令中显示的路径删除文件；

• c、单击【开始】>【运行】，输入 regedit，打开注册表，查看开机启动项是否正常，特别注意如下三个注册表项：
• HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
• 检查右侧是否有启动异常的项目，如有请删除，并建议安装杀毒软件进行病毒查杀，清除残留病毒或木马。

• d、组策略，运行gpedit.msc

2、检查计划任务

• 检查方法：a、单击【开始】>【设置】>【控制面板】>【管理工具】>【任务计划程序】，查看计划任务属性，便可以发现木马文件的路径。

• b、单击【开始】>【运行】；输入 cmd，然后输入at，检查计算机与网络上的其它计算机之间的会话或计划任务，如有，则确认是否为正常连接。

3、服务自启动

• 检查方法：单击【开始】>【运行】，输入services.msc，注意服务状态和启动类型，检查是否有异常服务。

（4） 检查系统相关信息

1、查看系统版本以及补丁信息

• 检查方法：单击【开始】>【运行】，输入systeminfo，查看系统信息

2、查找可疑目录及文件

• 检查方法：a、 查看用户目录，新建账号会在这个目录生成一个用户目录，查看是否有新建用户目录。

 

• b、在服务器各个目录，可根据文件夹内文件列表时间进行排序，查找可疑文件。
• c、回收站、浏览器下载目录、浏览器历史记录

（5）日志分析

系统日志

• 分析方法：
• a、前提：开启审核策略，若日后系统出现故障、安全事故则可以查看系统的日志文件，排除故障，追查入侵者的信息等。
• b、Win+R打开运行，输入“eventvwr.msc”，回车运行，打开“事件查看器”。
• c、导出应用程序日志、安全日志、系统日志，利用Log Parser进行分析。

原文参考链接：https://blog.csdn.net/qq_38684504/article/details/97751283