溯源取证/应急排查

已于 2022-01-21 17:09:07 修改
阅读量2.2k 收藏 14
点赞数
分类专栏: # 溯源反制 文章标签: windows
于 2021-11-16 10:13:18 首次发布
https://blog.csdn.net/qq_44657899
本文链接:https://blog.csdn.net/qq_44657899/article/details/121348696
版权

文章目录

文件取证

powershell历史

存放了powershell的执行历史

%APPDATA%\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt

在这里插入图片描述

敏感目录

记录用户最近使用的文档和应用程序,方便用户快速跳转到指定文件,可用于寻找可疑文件,排查木马病毒。
位置:

%APPDATA%\Microsoft\Windows\Recent
%UserProfile%\Recent

可能存在问题的敏感目录

%WINDIR%
%WINDIR%\system32%TEMP%
%LOCALAPPDATA%
%APPDATA%

各盘下的tmp缓存目录,例如C:\Windows\Temp

系统

补丁检测

理由:如果系统存在未打的重要补丁,攻击者遍可以利用漏洞进行攻击。
目的:确保系统补丁已经全部更新。

恶意用户排查

打开 cmd 窗口,输入lusrmgr.msc命令,查看是否有新增/可疑的账号

  • 如有管理员群组的(Administrators)里的新增账户,如有,请立即禁用或删除掉。
  • 还有用户名以$结尾的为隐藏用户
  • 注意Guest用户是否开启

查看当前已登录的账号

query user

查看用户目录 是否存在新建用户目录,查看对应用户的desktop与download目录下是否存在异常文件

系统日志排查

打开控制面板——系统和安全——查看事件日志,就进入了事件查看器,也可以Win+R 输入 eventvwr.msc

打开左侧事件查看器(本地)——Windows日志——安全

  • 筛查4776事件(远程登陆日志)查看是否有登陆频率过高事件
  • 注意日志事件是否存在缺失现象(日志出现断点或发现存在清除痕迹)。

在这里插入图片描述
常见事件id

  • 4624:账户成功登录
  • 4648:使用明文凭证尝试登录
  • 4778:重新连接到一台 Windows 主机的会话
  • 4779:断开到一台 Windows 主机的会话
    在这里插入图片描述

服务

web服务漏洞检查

对受害机器进行了解,分析可能存在的共同弱点,进而提供溯源思路。

如:是否存在弱口令(例如3389、FTP、中间件、数据库)

是否存在对外映射的端口,或WEB应用等

计划任务

主要行为特别表现从一个特定的外网地址下载downloader样本或病毒母体或者维持CC通信的心跳包。

win+r — taskschd.msc

命令查看计划任务schtasks

启动项

输入命令查看启动项wmic startup list full
在这里插入图片描述
任务管理器中的启动也可以查看启动项
在这里插入图片描述

网络

检查异常端口、进程

netstat -ano 查看目前的网络连接,定位可疑的ESTABLISHED

总结

在这里插入图片描述
在这里插入图片描述

天问_Herbert555
关注
  • 0
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
LOG日志溯源取证总结
weixin_30273931的博客
07-01 1290
windows操作系统事件日志 C:\Windows\System32\winevt\Logs\ *(XPC:\Windows\System32) 应用程序日志 App Event.Evtx(Application.evtx) 安全日志 SecEvent.Evtx 系统日志 SysEvent.Evtx USB设备第一次连接电脑:setupapi.log Win...
网络攻防技术——溯源取证与分析实验
学习记录
02-28 6580
一、题目 溯源取证分析作为网络攻防过程中重要环节,准确找到攻击者的入侵线索(尤其是攻击突破口、攻击IP地址、域名、工具等信息),对于企业或者团队安全运营团队来说都是必备技能。常规攻击取证过程中往往会结合流量、Web访问日志、终端系统或者软件日志等信息来挖掘或者推断相关线索。本实验通过网络流量、日志等溯源环境进行真实案例模仿,通过实战化分析来锻炼学生的取证溯源能力,从而加深大家对于网络攻防的实战化水平。在本实验结束时,学生应该能够具备对网络流量和日志的基本分析能力。 二、过程 一、Webshell数据包(we
Windows应急响应 - 敏感目录文件痕迹排查,最近打开的文件 Recent,临时目录Temp,预读取文件Prefetch,程序执行情况Amcache(1)
最新发布
2401_84972814的博客
05-13 894
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
溯源取证-钓鱼取证 基础篇
weixin_48421613的博客
04-05 978
某钱包用户遭遇钓鱼攻击,攻击者​利用钓鱼页面获取用户钱包助记词,钱包助记词通常为12个字符串组成,是用来重置/找回用户密码用的。
网络攻防--溯源取证分析实验
qq_64389397的博客
01-07 1626
splfileobject是PHP5中新加入的一个文件访问类,它继承于php标准库(SPL)中的Iterator和SeekableIterator接口,并提供了对文件的高效访问和处理。通过导出http对象,查看http的流量交互对象,可以看到在后面的分组中,主要是与1.php进行流量交互,可以确定1.php就是攻击者上传的shell文件。在日志文件中查找tmp,发现一串URL编码的数据,进行解密,发现黑客通过filename参数向/tmp目录传递了一个sess_car文件。然后就可以查看https协议了。
溯源取证 - windows内存取证 - 中级
weixin_48421613的博客
06-07 2219
此篇文章,我们将学习windows内存取证技巧,包括学习windows内存取证常用目录文件、使用到的取证工具,技巧;
【实战学习】电子数据取证专题——网络数据分析溯源(下)
weixin_34138377的博客
03-14 587
网络数据分析溯源(新增用户的×××号)背景介绍某公司安全工程师抓取到一段Wireshark数据包,发现有人利用WebShell操作了数据库,请找到新增的用户的×××号。实训目标1、掌握“Wireshark”的基本使用方法;2、了解数据在网络中传输的过程和协议;靶场地址:https://www.mozhe.cn/bug/detail/146网络数据分析溯源(发布文章的IP地址)...
溯源取证-流量分析 中级难度的资源
05-30
【标题】:“溯源取证-流量分析 中级难度的资源”主要涵盖了网络安全领域中的高级技术,旨在帮助用户深入了解网络流量分析和电子取证。这些资源对于网络安全专业人员或对网络安全有兴趣的学者来说是极其宝贵的。 ...
企业应急响应和溯源排查之道.pdf
06-22
企业应急响应和溯源排查之道 企业应急响应是指在安全事件发生时,企业采取的一系列应急措施,以控制和消除安全事件的影响,保护企业的数据和资产。溯源排查是指在安全事件发生后,追溯事件的来源,了解事件的原因和...
某服务器应急事件分析及溯源报告
04-30
某服务器应急事件分析及溯源报告,网页篡改类型应急响应报告,欢迎下载。
UNIX/Linux系统取证之信息采集案例
02-25
在UNIX/Linux系统取证中,及时收集硬盘的信息至关重要,《Unix/Linux网络日志分析与流量监控》一书中,将详细讨论各种常见系统进程系统调用及镜像文件获取方法。下面简单举几个例子。在UNIX/Linux取证时很多系统和...
可意识溯源的入侵检测和取证分析的结合方法
04-06
可意识溯源的入侵检测和取证分析的结合方法
HW行动的应急溯源、防御和对抗.zip
07-01
2021HW _ 溯源反制终极手册(精选版) 2021HW参考 _ 溯源反制终极手册(精选版) 2021HW行动红队作战手册 大厂护网试题和答案.docx 攻防实战演习总结 红队全栈学习导图 红队全栈学习导图 红队视角下的防御体系构建 红蓝...
游戏黑灰产识别和溯源取证
ss810540895的博客
08-14 2772
游戏黑灰产的对抗工作,不是简单的一环,而是一个完整的产业链。开发各类黑灰产工具,具备一定的研发能力,大多使用Python、Lua、易语言、按键精灵、TC脚本,有较强的反侦查和反检测能力,并且都具有固定的中游销售渠道(代理或内部工作室),多为兼职人员。溯源处理,通过对游戏登录的用户信息,用户的设备信息,用户游戏中的行为等数据,对这些数据进行做加工,进行情报溯源处理。溯源处理,通过对游戏登录的用户信息,用户的设备信息,用户游戏中的行为等数据,对这些数据进行做加工,进行情报溯源处理。6、批量行为都是有迹可循的。
【应用安全】安全溯源
Websec
11-15 430
1、详见如下思维导图。
Windows取证——学习笔记(一)
记录并分享学习安全的知识点..
10-03 1339
一、Windows回收站文件夹所在的位置 二、Windows 3389连接存在记录文件 三、Windows用户名溯源方法 四、Windows浏览器记录文件
【实战学习】电子数据取证专题——网络数据分析溯源(上)
mozhe_的博客
03-04 3454
电子数据取证专题-网络数据分析溯源 新题来了!!! 网络取证对网络入侵事件、网络犯罪活动进行证据获取、保存、分析和还原,它能够真实、连续地获取网络上发生的各种行为;能够完整地保存获取到的数据,并且防篡改;对保存的原始证据进行网络行为还原,重现入侵现场。 网络数据分析溯源(爆破扫描的IP地址) 背景介绍 某公司安全工程师抓取到一段Wireshark数据包,其中一IP对目标服务器做爆破扫描攻击扫...
安全分析--追踪溯源的找人思路
weixin_30325071的博客
02-02 899
零、绪论:   一旦发生攻击行为,确定攻击者或者说是责任人一般是定损止损快速恢复业务之后的第二反应。谁要为事件负责?谁该承担责任变成了进一步追查的目标。可是在网络攻击行为中能够查到人或者组织谈何容易,一般能够抓到攻击者或者攻击组织的大约能到30%就很不错了。但是呢下面还是从几个维度谈谈如何找人。 一、公司或组织内部的异常操作者 一般异常操作者,这里我们指误操作者,不是有意进行的攻击行为,所以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值