目录
查看影子用户(影子用户已经是红队能隐藏的极限,不存在更难查找的用户了):
常见入侵行为
查找网页挂马
- 页面弹窗/重定向:例如收到XSS攻击导致网页弹窗或被重定向,则可查看弹窗url以推测插入的非法语句存在于哪个目录下,并前往对应文件查看,对其进行删除或恢复备份
- 使用工具扫描木马文件(比特梵德、卡巴斯基、诺顿、趋势科技、360小红伞)
- 木马常写入windows\temp临时文件目录,因为写入该文件所需权限低
账户排查
查看用户
net user
删除用户
net user username /del
下图所示用户分别为:系统用户、默认服务用户、来宾用户、lenovo是自己使用的用户、最后i一个是自2020年Windows10更新之后启用windows defener时创建的防病毒用户
如何判断恶意用户(后门用户)是否为管理员用户?
1. 查看本地组成员是否有administrators(其中username是所查询的用户名,根据实际情况进行变通)
net user username
题外说明:linux系统则是根据用户id来区分普通用户和管理员用户,UID为0的用户是管理员用户(通常是root)
2.直接查看管理员用户组有哪些用户
net localgroup administrators
查看隐藏用户(用户名尾部跟$符的用户)
进入控制面板,根据以下路径依次访问,可以看到在管理账户中存在隐藏用户apt1881$
查看影子用户(影子用户已经是红队能隐藏的极限,不存在更难查找的用户了):
查看注册表 本地机器-SAM-账户-用户-用户名
win+R键输入:
regedit
按照以下文件路径依次访问
注意:SAM目录下的文件查看需要赋予administrator的完全控制权限,右键点击属性进行修改,修改之后需要点击查看-刷新或者按F5快捷键刷新(本台电脑为Fn+F5)
网络排查
netstat -ano
注:[::]开头的ip地址属于IPv6,在这里只需要关注IPV4地址即可
查看由哪些软件发起的连接,尤其注意exe文件
需要管理员权限才能查询
netstat -anob
优先排查高端口号,最高端口号为65535
进程排查
ctrl+shift+esc打开任务管理器,在详细信息中可以右键选择显示的列,如果PID默认没有显示可以在这里打开
在任务管理器中找到需要查询的进程,右键打开文件所在位置,以此初步判断怀疑的exe文件是否可能为木马文件,如:查询到windows-update.exe文件存在于c盘temp文件夹中,则一般为木马文件可再对其进行木马查杀
注册表排查
自启动项
自启动文件是忽略权限的文件夹,所有用户都可以对其进行读写,自启动项设置于以下文件路径:
镜像劫持
镜像劫持需要前往对应软件的注册表目录下进行可疑文件的排查
这里对IE浏览器的镜像劫持进行排查,在对应注册表目录下发现存在于C盘Windows\Temp临时文件夹下的可疑文件,于是前往可疑文件目录下查看,确定为攻击文件后删除该文件
影子用户排查
这部分内容在账户排查中已写明,它同属于注册表排查。
系统相关信息排查
计划任务
taskchd.msc
在网上查找任务名(许多都是微软自带)或者根据文件所在位置来判断
服务
services.msc
右键查看属性-查看执行文件的路径
可疑文件
%UserProfile%\Recent
可查看文件修改日期(在修改日期没有没修改的情况下)
注:0day漏洞并非无法防御, 完整的防御体系可以对其进行防御
自动化工具
火绒剑
在火绒上的高级工具中,推荐使用分离的app
溯源
日志
日志可被删除,但删除日志也会留下日志,因此至少会存在一条日志,日志的溯源始终有迹可循
ip
通过ip地址进行溯源