Windows入侵排查

常见的应急响应事件分类：

web入侵：网页挂马、主页篡改、webshell

系统入侵：病毒木马、勒索软件、远控后门

网络攻击：ddos攻击、dns劫持、ARP欺骗

入侵排查思路

一、检查系统账号安全

1、查看服务器有无弱口令，远程管理端口是否对公网开放：据实际情况咨询相关管理员

2、查看服务器是否存在可以账号、新增账号

     win+r 输入lusrmgr.msc命令，查看是否有新增/可疑账号，如有管理员组的新增账号，则删除或禁用

3、查看服务器是否存在隐藏账号、克隆账号

     打开注册表，查看管理员对应键值；使用D盾_web查杀工具，集成对克隆账号检测的功能

4、结合日志，查看管理员登录时间、用户名是否存在异常

     win+R 打开运行，输入"eventvwr.msc",打开事件查看器；导出Windows日志--安全，利用Log Parser进行分析

二、检测异常进程和端口

1、检查端口连接情况，是否有远程连接、可疑连接。

      netstat -ano 查看目前的网络连接，定位出可疑的ESTABLISHED,根据netstat定位出的pid，再通过tasklist命令进行进程定位        tasklist | findstr "PID"

2、进程

      开始-运行-输入msinfo32，点击软件环境-正在运行任务，查看进程的详细信息

      打开D盾_web查杀工具，进程查看，关注没有签名信息的进程

      通过微软提供的process explorer进行排查

     查看可疑的进程和子进程通过观察：没有签名验证信息的进程，没有描述信息的进程，进程的属主，进程的路径是否合法，                                                                   CPU或内存资源占用长时间过高的进程

3、小技巧

     查看端口对应的pid: netstat -ano | findstr "port"  ;查看进程对应的pid: 任务管理器-详细信息 或者 tasklist | findstr "pid"

     查看进程对应的程序位置：任务管理器-选择对应的进程-右键打开文件位置；运行输入wmic，cmd输入process

     查看Windows服务所对应的端口：c:\windows\system32\drivers\etc\services

三、检查启动项、计划任务、服务

1、检查服务器是否有异常的启动项

     （1）登录服务器，开始-所有程序-启动，默认情况下此目录是一个空目录，确认是否有非业务程序在此目录下

     （2）开始-运行-输入msconfig,查看是否存在命名异常的启动项目，是则取消勾选命名异常的启动项目，并到目录中显示的路                 径删除文件

     （3）开始-运行-regedit 打开注册表，注意一下三个注册表项：

     HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run
     HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
     HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

     检查右侧是否有启动异常的项目，如有则删除，并建议安装杀毒软件，清除残留病毒或木马

    （4）利用安全软件查看启动项、开机时间管理

    （5）组策略，运行gpedit.msc

2、检查计划任务

     开始-设置-控制面板-任务计划，查看计划任务属性；cmd  at命令；

3、服务自启动

    开始-运行 services.msc  注意服务状态和启动类型，检查是否有异常服务

 四、检查sit相关信息

1、查看系统版本以及补丁  ：cmd-systeminfo

2、最近打开的文件%UserProfile%\Recent

五、自动化查杀

六、日志分析

eveventvwr.msc d打开事件查看器，导出应用程序日志、安全日志、系统日志，利用log parser

web日志：Windows下用EmEditor进行日志分析，Linux下使用shell命令组合查询分析

更多应急响应内容请看《应急响应实战笔记》