windows
文件
敏感的文件路径: 更多可以使用 cmd->set 进行查看
%WINDIR%
%WINDIR%\sytem32
%TEMP% 临时文件
%LOCALAPPDATA% 应用程序本地数据
%APPDATA% 一个对Application Data路径的简记形式
%UserProfile%\Recent 最近打开的文件
-
查看文件属性
attrib 文件 -
查看文件权限
cacls 文件 -
计算文件md5
certutil -hashfile image.png md5
certutil -hashfile /? # 查看支持的更多hash
该命令支持的 哈希算法: MD2 MD4 MD5 SHA1 SHA256 SHA384 SHA512 -
文件内容检索
find /N “要找的内容” 路径 # 查找字符串 在指定的文件中 -
图形界面
选中文件->鼠标右键->属性
常规选项卡 查看文件的属性 和创建时间
详细信息选项卡 查看文件所有者
安全选项卡 查看文件的所有者
进程
tasklist
taskmgr
任务管理器
默认不显示进程的绝对路径,选中进程-> 右键属性-> 打开文件所在位置
wmic
查看进程的全路径
wmic process | findstr "taskmgr"
wmic process where name="cmd.exe" get executablepath
wmic SERVICE # 查询服务
wmic startup list full #枚举自启动项
procexp
- 进程数
可以看出父子进程之间的关系 - 初步筛查
根据进程的描述信息、公司名、签名验证 - VirusTotal
基于VirusTotal进行检测,选中进程行 -> 右键 -> Check VirusTotal - 基本信息
启动进程的用户名、路径、自启动方式(如果有),网络请求 - 进程属性
选中进程 -> 属性
Image选项卡 基本信息,路径、当前路径、自启动方式、父进程、启动用户、开始时间、VirusTotal结果
Peformance 选项卡 基本的CPU、I/O、内存、句柄等统计信息
Threads选项卡 线程信息
TCP/IP选项卡,网络连接信息
System选项卡, 启动的用户和sid
Environment选项卡,环境变量
strings选项卡(镜像和内存两个选项),提取进程的所有字符串,并且可以进一步搜索 - 基本配置
View -> Select Columns 可以设置每个窗口(进程、内存、Dll)显示的列表
View -> update Speed 可以设置信息更新的时间间隔,也可以暂停 当进程刷新的比较快时,是有帮助的
Process 菜单与选中进程鼠标右键显示的菜单一样,主要是 VirusTotal检测 ,在线查找,主要是使用bing搜索引擎,查找进程相关信息
Find菜单 主要是查询进程或者DLL/句柄等,如果知道一个恶意的DLL文件,直接使用这个就能检索到哪些进程引用了,方便进一步定位信息,比如想知道某个handle Name在哪个进程中被使用,可以根据这个进行查找
DLL或者Handle菜单 是相互切换的,可以使用工具栏的按钮进行选择 - DLL检索
DLL与进程检索方式基本相同,只不过需要先选中进程,点击工具栏DLL按钮,才能在界面下发,显示进程所引用的dll列表,也是可以通过描述,公司名,路径,验证前面,VirusTotal进行判断
DLL的属性中可以看到 Strings和Image两个选项卡,更多信息,可以在View->Select Columns进行选择(比如网络发包等信息)
有时间可以翻译process Exploere 的帮助文档
颜色说明信息
Pink – Windows Service hosting processes
Blue – Current user launched processes
Cyan – Windows app store application
Purple – Indicates a “packed” piece of software
Green – Newly launched processes
Red – Terminated process
Dark Gray – Suspended process
Procmon
进程行为监视器
对进程的行为:读文件、操作注册表、网络行为
最好是知道一个进程的PID,然后通过Filter进行过滤 定向监控,否则将导致显示的数据太多了
网络
netstat
查看网络连接包括 进程ID
netstat -ano
需要过滤出建立连接的信息
netstat -ano | findstr "ESTABLISHED"
netstat -ano | findstr "ESTABLI*"
TCPView
网络连接查看器,默认显示进程名,进程ID, 网络协议(TCP/UDP),连接状态,本地IP,本地端口,远程IP,远程端口,创建时间,发包和收包数量
可按照列表块,进行排序,比如按 创建时间 进行降序或者升序
选中一行,可以点击进程属性,查看进程完整路径,也可以直接打开进程所在文件夹Explore
连接菜单下,有whois查询,当连接中有域名时,可以直接使用这个查询 whois信息
暂停刷新,有时显示的连接比较多,可以点击暂停 按钮,进行刷新,记录信息
复制结果,点击一行,Ctrl+C 复制内容
公网IP检索
自启动
计划任务
schtasks /query /fo table /v
compmgmt.msc # 任务计划程序
taskschd.msc # 计划任务管理器
autorun
自启动项显示
wmic startup list full #枚举自启动项
账号
查看本地用户和组 寻找 隐藏账号
lusrmgr.msc
query user # 查看当前登录的用户信息
logoff 1 # 剔出对应ID
其他
eventvwr.msc 日志管理器 ,日志分析文章 https://mp.weixin.qq.com/s/xGykym7m71TXXkFhU8XrfQ
补丁比对小工具 https://github.com/neargle/win-powerup-exp-index
RDCman 管理多个远程桌面连接
sysmon 系统监控
strings 字符串查找
综合工具
pcHunter 下载地址 http://www.xuetr.com/
火绒剑 https://www.huorong.cn/person5.html
参考文献
GB/T 24363-2009 信息安全技术 信息安全应急响应计划规范
GB/T 28827.3-2012 信息技术服务 运行维护 第3部分:应急响应规范
GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南
微软sysinternals工具库
lsof命令介绍
yara基于规则分析程序 开源
apimonitor
processhacker
国家网络安全事件应急预案
奇安信 2020年网络安全应急响应分析报告 2021
上海市网络安全事件应急预案 2019
应急响应笔记非常优秀
溯源和反制总结
各种日志分析
扫一扫
841
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
