Windows分析排查介绍
分析排查是指对Windows系统中的文件、进程、系统信息、日志记录等进行检测,挖掘Windows系统中是否具有异常情况。
目的:保护Windows系统安全。
文件分析
1、开机启动文件
一般情况下,各种木马、病毒等恶意程序,都会在计算机开机启动过程中自启动。
在Windows系统中可以通过以下三种方式查看开机启动项:
-
利用文件资源管理器
C:\Users\xiamo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
删除可疑exe文件,并在回收站中永久删除
-
利用系统配置msconfig
找到可疑exe程序,通过逆向技术、流量监控分析程序,或发送到在线检测工具或杀软中检测是否是恶意代码。
-
利用注册表regedit
HKEY_CURRENT_USERS/software/Microsoft/Windows/CurrentVersion/Run
2、temp临时异常文件
temp(临时文件夹),位于C:\Users\xiamo\AppData\Local\Temp内。很多临时文件放在这里,用来收藏文件夹,浏览网页的临时文件,编辑文件等。
使用运行输入%TEMP%可以直接打开temp文件夹
查看temp文件夹发现PE文件(exe,dll,sys),或者是否具有特别大的tmp文件。
将文件上传到https://www.virustotal.com 进行查看,是否为恶意代码。
也可上传到https://s.threatbook.cn/ 微步云沙箱
https://www.rsa.com/cn-us/blog/2017-04/why-malware-installers-use-tmp-files-and-the-temp-folder
3、浏览器信息分析
-
分析历史记录 BrowsingHistoryView
-
分析下载记录 BrowsingDownloadView WebCacheImageInfo
-
浏览器Cookie信息查看 IECookiesView
https://download.nirsoft.nct/nirsoft__package_cnc_1.23.17.zip
4、文件时间属性分析
在Windows系统下,文件属性的时间属性具有:创建时间、修改时间、访问时间(默认情况下禁用)。默认情况下,计算机是以修改时间作为展示。
如果修改时间要早于创建时间那么这个文件存在很大可疑。(使用中国菜刀等工具修改的)
5、最近打开文件分析
Windows系统中默认记录系统中最近打开使用的文件信息。
可以在目录C:\Documents and Settings\Administrator\Recent下查看,也可以使用win+R打开运行,输入%UserProfile%\Recent查看。然后利用Windows中筛选条件查看具体时间范围的文件。
find /?
find /c /n /i “eval” C:\1.asp #在1.asp中查找eval
进程分析
1、可疑进程发现与关闭
计算机与外部网络通信是建立在TCP或UDP协议上的,并且每一次通信都是具有不同端口(0~65535)。如果计算机种马后,肯定会与外部网络通信,那么此时就可以通过查看网络连接状态,找到对应的进程ID,然后关闭进程ID就可以关闭连接状态。
- netstat -ano | find “ESTABLISHED” 查看网络建立连接状态
- tasklist /svc | find “PID” 查看具体PID进程对应的程序
- taskkill /PID pid值 /T 关闭进程
2、恶意进程发现与关闭
恶意代码在Windows系统中运行过程中,将以进程的方式进行展示。其中恶意进程执行着各种恶意行为。
对于可执行程序,可以直接使用杀毒软件干掉,但并非所有的恶意程序都能够被查杀,此时可以手动查杀,使用工具psexplore,然后利用virustotal.com进行分析。对恶意程序相关的服务进行关闭。
(查看进程属性—>得到服务–>关闭相应服务–>删除进程)
系统信息
1、Windows计划任务
在计算机中可以通过设定计划任务,在固定时间执行固定操作,一般情况下,恶意代码也有可能在固定的时间设置执行。
使用at命令可以对计划任务进行管理,直接输入at可以查看当前计算机中保存的计划任务,也可以在可视化的计划任务管理中进行管理。
使用工具:火绒
Revenge-RAT
2、隐藏账号发现与删除
隐藏账号,是指“黑客”入侵之后为了能够持久保持对计算机访问,而在计算机系统中建立的不轻易被发现的计算机账户(net user看不到)。
最为简单的隐藏账户建立:
net user test$ /add && net localgroup administrators test$ /add
其中 符 号 可 以 导 致 系 统 管 理 员 在 使 用 n e t u s e r 时 无 法 查 看 到 t e s t 符号可以导致系统管理员在使用net user时无法查看到test 符号可以导致系统管理员在使用netuser时无法查看到test用户
排查方式:
- 可视化界面排查
- 注册表 HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/users/Names
排查可疑用户并删除。
3、补丁查看与更新
- Windows系统支持补丁以修补漏洞,可以使用systeminfo查看系统信息,并展示对应的系统补丁信息编号。也可以在卸载软件中查看系统补丁和第三方补丁。
- 在win10中使用快捷键win+I 然后选择windows更新。其他版本的windows也具有windows Update相关选项可以操作。
- 如果安装了某个补丁后,系统出现了蓝屏,那么可以用pe进入系统卸载相关补丁。(也可以关闭自动更新)
网站Webshell查杀
【D盾 防火墙】专为IIS设计的一个主动防御的保护软件,以内外保护的方式防止网站和服务器被入侵,在正常运行各类网站的情况下,越少的功能,服务器越安全的理念而设计,限制了常见的入侵方法,让服务器更安全!http://www.d99net.net