应急响应-分析（windows）

1.文件分析——开机启动项

一般情况下，各种木马、病毒等恶意程序，都会在计算机开机启动过程中自启动
在windows系统中可以通过以下三种方式查看开机启动项：
（1）任务管理器

（2）利用msconfig
（3）利用注册表 regedit

2.文件分析——tmp临时异常文件

tmp(临时文件)，使用%temp%打开文件夹
查看 temp文件夹发现pe文件（exe\dll\sys），或者是否具有特别大的tmp文件
将文件上传至威胁分析平台查看是否有恶意行为

3.文件分析——浏览器信息分析

在被黑客拿下的服务器后，很有可能会使用浏览器进行网站的访问，因此我们可以查看浏览器记录，探索浏览器是否被使用，下载恶意代码 查看浏览器记录：brosinghiatoryview
下载地址：https://www.nirsoft.net/utils/browsing_history_view.html
可以查看文件名称、下载地址、网页地址、开始下载时间、结束时间、保存位置等等 浏览器文件下载记录查看：broserdownloadview 下载地址：https://www.nirsoft.net/utils/web_browser_downloads_view.html浏览器cookie信息查看：chromecookiesview、iecv、edgecookiesview
下载：只接搜，找官网下载

4.文件分析-文件时间属性

在windows系统下，文件属性的时间属性具有：创建时间、修改时间、访问时间（默认情况下禁用）
在默认情况下，计算机是以修改时间作为展示
右击文件，属性,查看文件创建时间、修改时间、访问时间
如果修改时间要早于创建时间那么这个文件存在很大可疑，使用中国菜刀等工具修改的，修改时间通过文件属性可以查到创建时间，修改时间，访问时间

5.文件分析——最近打开文件分析

windows系统中默认记录系统中最近打开使用的文件信息
输入%userprofile%Recent

find /?
find 参数 “查找内容” 文件路径

6.进程分析-可疑进程发现与关闭

计算机与外部网络通信是建立在tcp或udp协议上的，并且每一次通信都是具有不同的端口（0~65535）。如果计算机被木马后，肯定会与外部网络通信，那么此时就可以通过查看网络连接状态找到对应的进程ID,然后关闭进程ID就可以关闭连接状态
netstat -ano | find “ESTABLISHED” 查看网络建立连接状态
tasklist /svc | find “PID” 查看具体PID进程对应的程序
taskkill /PID pid值

7.系统信息——windows计划任务

在计算机中可以通过设定计算任务，在固定时间执行固定操作，一般情况下，恶意代码也有可能在固定的时间设置执行
使用schtasks命令可以查看
或在管理器中查看计划任务管理

8系统信息——隐藏账号发现与删除

隐藏账户，是指“黑客”入侵之后为了能持久保持对计算机访问，而在计算机系统中建立的不轻易被发现的计算机账户
最为简单的隐藏账户建立：
net user test$ test /add
net localgroup adminstrator test$ /add 其中$符号可以导致系统管理员在使用netuser时无法看到test$用户

9.恶意进程-发现与关闭

恶意代码在windows系统中运行过程中，将以进程的方式进行展示，其中恶意进程进行着各种恶意行为，对于可执行程序，可以直接使用杀毒软件进行查杀，但是并非所有的恶意进程都能够被查杀，此时可以手动查杀，使用工具psexplore,然后利用virustotal.com进行分析，对恶意相关的服务进行关闭
在选项中选择virutotal.com

选择使用virustotal.com

发现红色标记的进程，进行关闭

10.系统信息-补丁查看与更新

windows系统支持补丁以修补漏洞，可以使用systemInfo查看系统信息，并展示对应的补丁信息编号，也可以在卸载软件中查看系统补丁和第三方软件补丁
在win10中，使用快捷键 win+i 然后选择windows更新