Windows应急响应

一、Windows信息收集

        系统信息相关收集

                检查系统相关信息：命令systeminfo

        漏洞分析利用

                1.生产信息

                systeminfo.exe > systeminfo.txt

                2.利用在线工具进行分析

                提权辅助网页 Windows提权辅助

        操作痕迹

                1、查看用户目录是否有新建用户目录：C:\Users

                2、点击【开始】> 【运行】，输入%UserProfile%\Recent，分析最近打开的可疑文件。

                3、在服务器各个目录，可根据文件夹内文件列表时间顺序进行排查可疑文件。

                4、回收站、浏览器下载目录、浏览器历史记录

二、Windows账号安全

        检查系统账号安全

                1.可疑账号

                 net localgroup administrators、用户管理、用户登录界面

                命令：lusrmgr.msc

                查看是否有新增可疑账号，如管理群组的（administrator）里的新增账户

        隐藏、克隆账号

                1.regedit打开注册表、查看管理员对应键值。

                    HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\Administrator

                2. 使用D盾_web查杀工具

                     net user sysuser1$ /delete

三、Windows进程和端口号

        检查端口异常

                1、netstat -ano 查看目前的网络连接，定位可疑的ESTABLISHED

                2、根据netstat定位出的pid，再通过tasklist命令进行进程定位tasklist | findstr ”PID“

        检查异常进程  

                1、开始-运行-输入msinfo32,依次点击“软件环境一→正在运行任务”就可以查看到进程的详细信息，比如进程路径、进程D、文件创建日期、启动时间等。

                2、打开D盾_web查杀工具，进程查看，关注没有签名信息的进程

                3、通过微软官方提供的Process Explorer等工具进行排查

                        查看可疑的进程及其子进程。重点关注以下内容：

                        没有签名验证信息的进程

                        没有描述信息的进程

                        进程的属主

                        进程的路径是否合法

                        CPU或内存资源占用长时间过高的进程

四、启动项、计划任务、服务

        启动项

                1、登录服务器，单击【开始】>【所有程序】>【启动】，默认情况下此目录在是一个空目录，确认是否有非业务程序在该目录下。

                2、命令：msconfig,查看是否存在命名异常的启动项目，是则取消勾选命名异常的启动项目，并到命令中显示的路径删除文件。

                3、命令：regedit,特别注意以下注册表项：

                HKEY_CURRENT_USER\Software\Micorsoft\Windows\CurrentVersion\Run

                HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

                HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

                HKEY_CURRENT_USER\Environment (Logon scripts)

                4、利用安全软件（电脑管家等）查看启动项、开机时间管理等。

        计划任务

                命令：schtasks.exe

        服务

                命令：services.msc

                注意服务状态和启动类型，检查是否有异常服务

其它工具（使用不同的工具可以会有新的发现哦！）

        Autoruns

        PYArkClient.vmp

五、windows事件日志

        windows系统日志是记录系统中硬件、软件和系统问题的信息，同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹。

       命令：eventvwr.msc

        windows:主要有以下三类日志记录系统事件：

                应用程序日志

                系统日志

                安全日志

        应用程序日志

包含由应用程序或系统程序记录的事件，主要记录程序运行方面的事件，例如数据库程序可以在应用程序日志中记录文件错误，程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况，那么我们可以从程序事件日志中找到相应的记录，也许会有助于你解决问题。

默认位置：%SystemRoot%System32\Winevt\Logs\Application.evtx

系统日志

记录操作系统组件产生的事件，主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。

默认位置：%SystemRoot%\ System32\Winevt\Logs\System.evtx

安全日志（做入侵分析最主要的一个点）

记录系统的安全审计事件，包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。安全日志也是调查取证中最常用到的日志。默认设置下，安全性日志是关闭的，管理员可以使用组策略来启动安全性日志，或者在注册表中设置审核策略，以便当安全性日志满后使系统停止响应。

默认位置：%SystemRoot%\System32\Vinevt\Logs\Security.evtx

事件日志

对于Vindows事件日志分析，不同的EVENT ID代表了不同的意义，摘录一些常见的安全事件的说明