分析排查是指对windows系统中的文件、进程、系统信息、日志记录等进行检测、挖掘windows系统中是否具有异常情况,目的在于保护windows系统安全
1、windows排查分析-开机启动项检查
1.1、一般情况下,各种木马、病毒等恶意程序,都会在计算机启动过程中自启动
1、C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
2、msconfig
3、HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
4、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
2、windows排查分析-temp临时文件夹异常文件排查_ev
2.1、temp文件(临时文件),对当前登录的用户具有读写 访问权限,位于C:\Documents and Settings\Administrator\Local Settings内。很多临时文件放在这里,用来收藏夹,浏览网页的临时文件,编辑文件等。
2.2、使用运行输入%temp%可以直接打开temp文件夹,查看temp文件夹,查看是否具有PE文件(exe、dll、sys),或者是否具有特别大的tmp文件,将发现的文件进行病毒扫描,查看是否是恶意程序。
3、Windows排查分析 - 浏览器信息记录_ev
3.1、在被黑客拿下的服务器,很有 可能会使用浏览器进行网站的访问,因此我们可以查看浏览器的记录进行查看,搜索浏览器是否被使用下载恶意程序
浏览器记录,浏览器下载记录,浏览器cookie信息查看,也可以借助工具进行查看
4 Windows排查分析 - 文件时间属性分析_ev
在windows系统下,文件属性的时间属性具有:创建时间、修改时间、访问时间(默认禁用)。默认情况下,计算机是以修改时间作为展示。如果修改时间要早于创建时间那么这个文件存在很大可疑???可能是使用菜刀、蚁剑等工具修改了它的原修改时间
5 Windows排查分析 - 最近打开文件分析_ev
5.1、windows系统默认记录系统中最近打开使用的文件夹信息
5.2、使用win+R打开运行,输入%UserProfile%\Recent查看。然后利用windows的筛选条件查看具体时间范围的文件
5.3、当然了有时候查到的文件里面内容很多,我们又想知道里面内容有没有什么后门函数,我们就可以使用cmd输入find命令对其进行查找
具体使用,说明shell.txt第一行里面存在该函数
6 Windows排查分析 - 可疑进程发现与关闭_ev
计算机与外部网络通信是建立在TCP或者UDP协议上的,并且每一次通信都是具有不同的端口(0~65535)。如果计算机被木马后,肯定会与外部进行网络通信,那么此时就可以通过查看网络连接状态。找到对应的进程ID。如何关闭进程ID就可以关闭连接状态。80,443端口都是正常的,我们可以去查看那些可以端口进程
netstat -ano | find "ESTABLISHED" 查看网络建立连接状态
tasklist /svc | find "PID" 查看PID进程对应的程序
taskkill /PID pid值 /T 关闭进程
7 Windows系统信息 - 异常计划任务排查_ev
7.1、在计算机中可以通过设定计划任务,在固定时间执行固定操作。一般情况下,恶意代码也可能在固定的时间设置执行。
7.2、使用at命令可以对计划任务进行管理,直接输入可以查看当前计算机中保存的计划任务,注意at命令在windows12以下使用,超过该版本使用schtasks命令
当然也可以在可视化的计划任务管理中进行管理
8 Windows系统信息 - 隐藏账户发现与删除_ev
8.1、隐藏账户,是指黑客入侵之后为了能够持久保持对计算机访问,而在计算机系统中建立的不轻易被发现的计算机账户。
8.2、最为简单的隐藏账户建立:
net user test$ test /add && net localgroup administrator test$ /add
其中符号可以导致系统管理员在使用时无法查看到用户
8.3、使用注册表建立隐藏账户在计算机管理中无法查看到用户
在注册表中找到该位置,这里可以看到我们的用户和对应的二进制值和权限
具体过程是先在cmd命令新建一个隐藏用户并加入administrator组,运行regedit,找到新建的用户,导出注册表用户内容现在运行计算机管理中的本地用户和组管理,可以看到我们的隐藏用户,我们将用户进行删除,并将导出的用户内容导入注册表,这样在本地用户 和组管理中就看不到我们新建的隐藏用户了,并且该用户是可以正常登陆的,或者你直接复制其他用户的内容进行添加也是一样的。
9 Windows系统信息 - 恶意进程发现与关闭_ev
9.1、恶意代码在windows系统中运行过程中,将以进程的方式进行展示。其中恶意进程执行者各种恶意行为。
9.2、对于恶意程序,可以直接使用杀毒软件进行查杀,但是并不是所有的恶意程序都能够查杀。此时可以手动查杀,使用工具psexplore获取程序的hash值进行查杀
10 Windows系统信息 - 补丁信息查看与发现_ev
10.1、windows系统支持补丁以修补漏洞,可以使用systeminfo查看系统信息,并展示对于的系统补丁信息编号,也可以在卸载软件中查看系统补丁和第三方补丁
10.2、在win10中使用快捷键win+I然后选择windows更新,其他版本的windows也具有windows Update相关选项,可以进行更新操作。
11 Windows日志分析基础介绍_ev
11.1开启审核策略,若 日后系统出现故障、安全事故则可以查看系统的日志文件,排除故障,追查入侵者的信息等。
11.2、首先我们要做的就是打开编辑本地安全策略,对各种事件发生的成功与否进行记录
11.3、在windows系统中可以使用以下两种方法打开日志管理器查看系统日志
(1)开始---->windows管理工具-->事件查看器
(2)win+R打开运行,输入"eventwr.msc",回车运行,打开"事件查看器"
11.4、windows系统日志筛选,通过日志事件ID进行筛选
可以看到都是事件ID为4624的事件
11.5、使用mstsc远程登录某个主机时,使用的账户是管理员的话,成功的情况下会有ID:4776、4648、4624、4672的事件发生,通过筛选日志ID就可以筛选出是否被远程登录
11.6、在入侵提权过程中,常使用下面两条语句
net uset USER PASSWORD /add
net localgroup administrators USER /add
此时就会在日志中以 ID:4732、4724、4722等做记录