最近在看bypass大佬的windows应急响应入侵排查思路,终于头脑算是有个清晰的思路,虽然具体细节还要琢磨,但避免以后忘记了,整理了一份思维导图,方便自己以后的学习。
参考资料:https://github.com/Bypass007/Emergency-Response-Notes
https://blog.csdn.net/qq_23936389/article/details/83511327
- 关于端口和进程
- 关于系统账号安全
- 关于启动项、任务
- 关于系统补丁
- 关于日志分析
检查系统账号安全
服务器是否存在可疑账号、新增账号
CMD窗口中输入lusrmgr.msc命令进行观察查,看是否有新增/可疑的账号,如有管理员群组的(Administrators)里的新增账户,如有,请立即禁用或删除掉。
组与用户的关系:用户是单个的而组是用户的集合
查看服务器是否存在隐藏账号、克隆账号;
1在桌面打开运行(可使用快捷键 win+R),输入 regedit,即可打开注册表编辑器;
2选择 HKEY_LOCAL_MACHINE/SAM/SAM,默认无法查看该选项内容,右键菜单选择权限,打开权限管理窗口;
3选择当前用户(一般为 administrator),将权限勾选为完全控制,然后确定。关闭注册表编辑器;
再次打开注册表编辑器,即可选择 HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users;
5在 Names 项下可以看到实例所有用户名,如出现本地账户中没有的账户,即为隐藏账户,在确认为非系统用户的前提下,可删除此用户。
结合日志,查看管理员登录时间、用户名是否存在异常;
win+R打开运行,输入“eventvwr.msc”,回车运行,打开“事件查看器”,查看Windows日志;
tips(可以导出Windows日志——安全,使用logparser进行日志分析;)
检查异常端口
netstat -ano 查看目前的网络连接,定位可疑的ESTABLISHED; 再通过tasklist命令进行进程定位:tasklist | findstr “PID”
检查异常进程
开始–运行–输入msinfo32,依次点击“软件环境→正在运行任务”就可以查看到进程的详细信息,比如进程路径、进程ID、文件创建日期、启动时间等。
tips(打开D盾_web查杀工具,进程查看,关注没有签名信息的进程)
检查服务器是否有异常的启动项
登录服务器,单击【开始】>【所有程序】>【启动】,默认情况下此目录在是一个空目录,确认是否有非业务程序在该目录下;
Win+r,输入 msconfig,查看是否存在命名异常的启动项目,是则取消勾选命名异常的启动项目,并到命令中显示的路径删除文件;
单击【开始】>【运行】,输入 regedit,打开注册表,查看开机启动项是否正常,特别注意如下三个注册表项:
HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
检查右侧是否有启动异常的项目,如有请删除,并建议安装杀毒软件进行病毒查杀,清除残留病毒或木马。
组策略,运行gpedit.msc查看
检查计划任务
检查方法:在控制面板中搜索管理工具,然后点击任务计划,查看计划任务属性,便可以发现木马文件的路径。
然后输入at,检查计算机与网络上的其它计算机之间的会话或计划任务,如有,则确认是否为正常连接。
服务自启动
检查方法:单击【开始】>【运行】,输入services.msc,注意服务状态和启动类型,检查是否有异常服务
检查系统相关信息
查看系统版本以及补丁信息
检查方法:输入systeminfo,查看系统信息
查找可疑目录及文件
检查方法:a、 查看用户目录,新建账号会在这个目录生成一个用户目录,查看是否有新建用户目录。
点击开始——>运行,输入%UserProfile%\Recent,分析最近打开的文件,查找可疑文件;
685
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
