windows排查

Windows分析排查介绍

分析排查是指对Windows系统中的文件、进程、系统信息、日志记录等进行检测,挖掘Windows系统中是否具有异常情况。

目的:保护Windows系统安全。

文件分析

1、开机启动文件

一般情况下,各种木马、病毒等恶意程序,都会在计算机开机启动过程中自启动。

在Windows系统中可以通过以下三种方式查看开机启动项:

  • 利用文件资源管理器

    C:\Users\xiamo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

    删除可疑exe文件,并在回收站中永久删除

  • 利用系统配置msconfig

    找到可疑exe程序,通过逆向技术、流量监控分析程序,或发送到在线检测工具或杀软中检测是否是恶意代码。

  • 利用注册表regedit

    HKEY_CURRENT_USERS/software/Microsoft/Windows/CurrentVersion/Run

2、temp临时异常文件

temp(临时文件夹),位于C:\Users\xiamo\AppData\Local\Temp内。很多临时文件放在这里,用来收藏文件夹,浏览网页的临时文件,编辑文件等。

使用运行输入%TEMP%可以直接打开temp文件夹

查看temp文件夹发现PE文件(exe,dll,sys),或者是否具有特别大的tmp文件。

将文件上传到https://www.virustotal.com 进行查看,是否为恶意代码。

也可上传到https://s.threatbook.cn/ 微步云沙箱

https://www.rsa.com/cn-us/blog/2017-04/why-malware-installers-use-tmp-files-and-the-temp-folder

3、浏览器信息分析

  • 分析历史记录 BrowsingHistoryView

  • 分析下载记录 BrowsingDownloadView WebCacheImageInfo

  • 浏览器Cookie信息查看 IECookiesView

https://download.nirsoft.nct/nirsoft__package_cnc_1.23.17.zip

4、文件时间属性分析

在Windows系统下,文件属性的时间属性具有:创建时间、修改时间、访问时间(默认情况下禁用)。默认情况下,计算机是以修改时间作为展示。

如果修改时间要早于创建时间那么这个文件存在很大可疑。(使用中国菜刀等工具修改的)

5、最近打开文件分析

Windows系统中默认记录系统中最近打开使用的文件信息。

可以在目录C:\Documents and Settings\Administrator\Recent下查看,也可以使用win+R打开运行,输入%UserProfile%\Recent查看。然后利用Windows中筛选条件查看具体时间范围的文件。

find /?

find /c /n /i “eval” C:\1.asp #在1.asp中查找eval

进程分析

1、可疑进程发现与关闭

计算机与外部网络通信是建立在TCP或UDP协议上的,并且每一次通信都是具有不同端口(0~65535)。如果计算机种马后,肯定会与外部网络通信,那么此时就可以通过查看网络连接状态,找到对应的进程ID,然后关闭进程ID就可以关闭连接状态。

  • netstat -ano | find “ESTABLISHED” 查看网络建立连接状态
  • tasklist /svc | find “PID” 查看具体PID进程对应的程序
  • taskkill /PID pid值 /T 关闭进程

2、恶意进程发现与关闭

恶意代码在Windows系统中运行过程中,将以进程的方式进行展示。其中恶意进程执行着各种恶意行为。

对于可执行程序,可以直接使用杀毒软件干掉,但并非所有的恶意程序都能够被查杀,此时可以手动查杀,使用工具psexplore,然后利用virustotal.com进行分析。对恶意程序相关的服务进行关闭。

(查看进程属性—>得到服务–>关闭相应服务–>删除进程)

系统信息

1、Windows计划任务

在计算机中可以通过设定计划任务,在固定时间执行固定操作,一般情况下,恶意代码也有可能在固定的时间设置执行。

使用at命令可以对计划任务进行管理,直接输入at可以查看当前计算机中保存的计划任务,也可以在可视化的计划任务管理中进行管理。

使用工具:火绒

Revenge-RAT

2、隐藏账号发现与删除

隐藏账号,是指“黑客”入侵之后为了能够持久保持对计算机访问,而在计算机系统中建立的不轻易被发现的计算机账户(net user看不到)。

最为简单的隐藏账户建立:

net user test$ /add && net localgroup administrators test$ /add

其中 符 号 可 以 导 致 系 统 管 理 员 在 使 用 n e t u s e r 时 无 法 查 看 到 t e s t 符号可以导致系统管理员在使用net user时无法查看到test 使netusertest用户

排查方式:

  • 可视化界面排查
  • 注册表 HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/users/Names

排查可疑用户并删除。

image-20210830005617511

3、补丁查看与更新

  • Windows系统支持补丁以修补漏洞,可以使用systeminfo查看系统信息,并展示对应的系统补丁信息编号。也可以在卸载软件中查看系统补丁和第三方补丁。

image-20210902083040638

  • 在win10中使用快捷键win+I 然后选择windows更新。其他版本的windows也具有windows Update相关选项可以操作。
  • 如果安装了某个补丁后,系统出现了蓝屏,那么可以用pe进入系统卸载相关补丁。(也可以关闭自动更新)

网站Webshell查杀

【D盾 防火墙】专为IIS设计的一个主动防御的保护软件,以内外保护的方式防止网站和服务器被入侵,在正常运行各类网站的情况下,越少的功能,服务器越安全的理念而设计,限制了常见的入侵方法,让服务器更安全!http://www.d99net.net

  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值