一、Windows信息收集
系统信息相关收集
检查系统相关信息:命令systeminfo
漏洞分析利用
1.生产信息
systeminfo.exe > systeminfo.txt
2.利用在线工具进行分析
操作痕迹
1、查看用户目录是否有新建用户目录:C:\Users
2、点击【开始】> 【运行】,输入%UserProfile%\Recent,分析最近打开的可疑文件。
3、在服务器各个目录,可根据文件夹内文件列表时间顺序进行排查可疑文件。
4、回收站、浏览器下载目录、浏览器历史记录
二、Windows账号安全
检查系统账号安全
1.可疑账号
net localgroup administrators、用户管理、用户登录界面
命令:lusrmgr.msc
查看是否有新增可疑账号,如管理群组的(administrator)里的新增账户
隐藏、克隆账号
1.regedit打开注册表、查看管理员对应键值。
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\Administrator
2. 使用D盾_web查杀工具
net user sysuser1$ /delete
三、Windows进程和端口号
检查端口异常
1、netstat -ano 查看目前的网络连接,定位可疑的ESTABLISHED
2、根据netstat定位出的pid,再通过tasklist命令进行进程定位tasklist | findstr ”PID“
检查异常进程
1、开始-运行-输入msinfo32,依次点击“软件环境一→正在运行任务”就可以查看到进程的详细信息,比如进程路径、进程D、文件创建日期、启动时间等。
2、打开D盾_web查杀工具,进程查看,关注没有签名信息的进程
3、通过微软官方提供的Process Explorer等工具进行排查
查看可疑的进程及其子进程。重点关注以下内容:
没有签名验证信息的进程
没有描述信息的进程
进程的属主
进程的路径是否合法
CPU或内存资源占用长时间过高的进程
四、启动项、计划任务、服务
启动项
1、登录服务器,单击【开始】>【所有程序】>【启动】,默认情况下此目录在是一个空目录,确认是否有非业务程序在该目录下。
2、命令:msconfig,查看是否存在命名异常的启动项目,是则取消勾选命名异常的启动项目,并到命令中显示的路径删除文件。
3、命令:regedit,特别注意以下注册表项:
HKEY_CURRENT_USER\Software\Micorsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
HKEY_CURRENT_USER\Environment (Logon scripts)
4、利用安全软件(电脑管家等)查看启动项、开机时间管理等。
计划任务
命令:schtasks.exe
服务
命令:services.msc
注意服务状态和启动类型,检查是否有异常服务
其它工具(使用不同的工具可以会有新的发现哦!)
Autoruns
PYArkClient.vmp
五、windows事件日志
windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。
命令:eventvwr.msc
windows:主要有以下三类日志记录系统事件:
应用程序日志
系统日志
安全日志
应用程序日志
包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。
默认位置:%SystemRoot%System32\Winevt\Logs\Application.evtx
系统日志
记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。
默认位置:%SystemRoot%\ System32\Winevt\Logs\System.evtx
安全日志(做入侵分析最主要的一个点)
记录系统的安全审计事件,包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。安全日志也是调查取证中最常用到的日志。默认设置下,安全性日志是关闭的,管理员可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响应。
默认位置:%SystemRoot%\System32\Vinevt\Logs\Security.evtx
事件日志
对于Vindows事件日志分析,不同的EVENT ID代表了不同的意义,摘录一些常见的安全事件的说明