文件取证
powershell历史
存放了powershell的执行历史
%APPDATA%\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt
敏感目录
记录用户最近使用的文档和应用程序,方便用户快速跳转到指定文件,可用于寻找可疑文件,排查木马病毒。
位置:
%APPDATA%\Microsoft\Windows\Recent
%UserProfile%\Recent
可能存在问题的敏感目录
%WINDIR%
%WINDIR%\system32%TEMP%
%LOCALAPPDATA%
%APPDATA%
各盘下的tmp缓存目录,例如C:\Windows\Temp
系统
补丁检测
理由:如果系统存在未打的重要补丁,攻击者遍可以利用漏洞进行攻击。
目的:确保系统补丁已经全部更新。
恶意用户排查
打开 cmd 窗口,输入lusrmgr.msc
命令,查看是否有新增/可疑的账号
- 如有管理员群组的(Administrators)里的新增账户,如有,请立即禁用或删除掉。
- 还有用户名以$结尾的为隐藏用户
- 注意Guest用户是否开启
查看当前已登录的账号
query user
查看用户目录 是否存在新建用户目录,查看对应用户的desktop与download目录下是否存在异常文件
系统日志排查
打开控制面板——系统和安全——查看事件日志,就进入了事件查看器,也可以Win+R 输入 eventvwr.msc
打开左侧事件查看器(本地)——Windows日志——安全
- 筛查4776事件(远程登陆日志)查看是否有登陆频率过高事件
- 注意日志事件是否存在缺失现象(日志出现断点或发现存在清除痕迹)。
常见事件id
- 4624:账户成功登录
- 4648:使用明文凭证尝试登录
- 4778:重新连接到一台 Windows 主机的会话
- 4779:断开到一台 Windows 主机的会话
服务
web服务漏洞检查
对受害机器进行了解,分析可能存在的共同弱点,进而提供溯源思路。
如:是否存在弱口令(例如3389、FTP、中间件、数据库)
是否存在对外映射的端口,或WEB应用等
计划任务
主要行为特别表现从一个特定的外网地址下载downloader样本或病毒母体或者维持CC通信的心跳包。
win+r — taskschd.msc
命令查看计划任务schtasks
启动项
输入命令查看启动项wmic startup list full
任务管理器中的启动也可以查看启动项
网络
检查异常端口、进程
netstat -ano 查看目前的网络连接,定位可疑的ESTABLISHED
总结