Windows应急响应

已于 2024-01-10 14:03:30 修改
阅读量7.4w 收藏 67
点赞数 9
分类专栏: 病毒分析 应急响应 文章标签: 服务器 windows 应急响应
于 2022-01-28 12:16:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43526443/article/details/122729384
版权

        临近冬奥、残奥,发一篇Windows的应急响应,希望对大家有所帮助,下一篇会发Linux的应急响应。

目录

Part1 前期交互

Part2 主机排查

Part3 工具篇

Part1 前期交互

这个阶段主要是先找客户了解主机的基本情况。如:

  • 主机是否存在弱口令

  • 主机是否对外网接通

  • 什么时候发现电脑被入侵,网络攻击的事件类型。

  • 主机日常是否有人进行维护

  • 主机是作为客户机还是服务器

    • 客户机:最近有没有点一些恶意链接,或收到钓鱼邮件

    • 服务器:主机开放了什么服务,日常扮演的角色。

当我们对这台主机了解的越多,我们就越能有一个明确的排查思路,工作就会比较流畅。

Part2 主机排查

查看这台主机的操作系统信息。
1、开始-》运行-》cmd-》systeminfo

2、开始-》运行-》appwiz.cpl-》已安装更新

从中查找这台主机的系统版本和所安装的补丁,判断是否有漏装的补丁。如:代号为KB4012212,KB4012215的补丁是微软针对Windows server 2008R2发布的永恒之蓝漏洞补丁。
查看开放端口
1、开始-》运行-》cmd-》netstat -ano

注意开放的可疑端口,如果主机未进行断网,则可能还在进行外连,这时需要重点注意ESTABLISHED。 如果有些开放的端口你不太清楚干什么用的,可以在C:\Windows\System32\drivers\etc\service查看

当你发现某个端口不正常的时候,可以输入tasklist | findstr 'pid'进行进程查看。
查看运行的进程
1、开始-》运行-》cmd-》tasklist

2、开始-》运行-》cmd-》wmic process
3、查看某个进程的详情信息 开始-》运行-》cmd-》wmic process where name='进程名' list full 4、任务管理器-》详细信息

5、查看进程运行的位置

  • 观察可疑进程主要观察。

    • 没有签名验证信息的进程

    • 没有描述信息的进程

    • 进程的属主

    • 进程的路径是否合法

    • CPU或内存资源占用长时间过高的进程

日志分析 1、开始-》运行-》eventvwr.exe

主要看应用安全和系统
可根据时间和关键字进行筛选

  • 重要的事件 ID(安全日志,Security.evtx)

    • 4624:账户成功登录

    • 4648:使用明文凭证尝试登录

    • 4778:重新连接到一台 Windows 主机的会话

    • 4779:断开到一台 Windows 主机的会话

查看用户 1、开始-》运行-》lusrmgr.msc

2、开始-》运行-》cmd-》net user

3、去C:\Users查看是否有多出的家目录
4、开始-》运行-》cmd-》query user。查看现在在线的用户

5、开始-》运行-》cmd-》net user 用户名 查看用户名上次登录时间

注意是否存在异常用户,或者隐藏用户,克隆用户, 打开lusrmgr.msc用户,用户名后面如果有$则是隐藏用户。可以结合日志,查看用户的异常登录时间 查看开机启动
1、任务管理器-》启动

2、设置-》应用-》启动

3、开始-》所有程序-》启动 4、开始-》运行-》msinfo32-》软件环境-》启动程序

5、检查注册表
HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

查看计划任务

1、开始-》运行-〉taskschd.msc

2、开始-》运行-〉cmd-》at或者schtasks.exe。

如果存在445端口查看文件共享
开始-》运行-》cmd-》net share

查看服务 开始-》运行-》services.msc

查看是否存在可疑的自启服务

敏感目录排查

  • %WINDIR%

  • %TEMP%

  • %UserProfile%\Recen 最近打开的文件

  • %LOCALAPPDATA%

  • %APPDATA%

  • 各盘下的tmp缓存目录,例如C:\Windows\Temp

组策略排查 开始-》运行-》gpedit.msc

中间件日志分析
关于服务器上的中间件,就去存放日志的地方进行分析。

Part3 工具篇

病毒分析

PCHunter:http://www.xuetr.com

火绒剑:https://www.huorong.cn

Process Explorer:https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer

processhacker:https://processhacker.sourceforge.io/downloads.php

autoruns:https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns

OTL:https://www.bleepingcomputer.com/download/otl/

SysInspector:http://download.eset.com.cn/download/detail/?product=sysinspector

病毒查杀

卡巴斯基:http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe

大蜘蛛:http://free.drweb.ru/download+cureit+free

火绒安全软件:https://www.huorong.cn

360杀毒:http://sd.360.cn/download_center.html

病毒动态

CVERC-国家计算机病毒应急处理中心:http://www.cverc.org.cn

微步在线威胁情报社区:https://x.threatbook.cn

火绒安全论坛:http://bbs.huorong.cn/forum-59-1.html

在线病毒扫描网站

多引擎在线病毒扫描网:http://www.virscan.org

腾讯哈勃分析系统:https://habo.qq.com

Jotti恶意软件扫描系统:https://virusscan.jotti.org

针对计算机病毒、手机病毒、可疑文件等进行检测分析:http://www.scanvir.com

webshell查杀

D盾_Web查杀:http://www.d99net.net/index.asp

河马webshell查杀:http://www.shellpub.com

深信服Webshell网站后门检测工具:http://edr.sangfor.com.cn/backdoor_detection.html

在线沙箱分析

360安全大脑沙箱云:https://ata.360.net/dashboard
微步云沙箱:https://s.threatbook.cn/
魔盾安全分析:https://www.maldun.com/submit/submit_file/

“D&X 安全实验室”

专注渗透测试技术

全球最新网络攻击技术

土豆.exe
关注
  • 9
    点赞
  • 67
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
Windows事件响应指南(下)
weixin_43200882的博客
10-26 1784
在我们Blue Team,针对Windows日志分析的场景占绝大多数,Windows 事件日志记录提供了源、用户名、计算机、事件类型和级别等详细信息,并显示应用程序和系统消息的日志,包括错误、信息消息和警告。增强对在您的环境中的系统上运行的进程的可见性的另一个选择是实施 Sysmon,这是 Sysinternals 的一个免费实用程序,现在是 Microsoft 的一部分。Windows WFP 的事件描述是十分详细的,包括有关本地和远程 IP 和端口号以及所涉及的进程 ID 和进程名称的信息。
最新windows安全事件id汇总_电脑事件id大全(1)
2401_84297944的博客
05-02 863
4647 ----- 用户启动了注销4648 ----- 使用显式凭据尝试登录4649 ----- 检测到重播攻击4650 ----- 建立了IPsec主模式安全关联4651 ----- 建立了IPsec主模式安全关联4652 ----- IPsec主模式协商失败4653 ----- IPsec主模式协商失败4654 ----- IPsec快速模式协商失败4655 ----- IPsec主模式安全关联已结束4656 ----- 请求了对象的句柄。
windows应急响应
weixin_64312503的博客
05-21 81
近年来,随着互联网的发展网络安全攻击事件也是大幅度增多,如何在第一时间发现攻击事件,并实施应急处置,能够有效的将损失降到最低。在实施应急响应的过程中,需要从多方面进行联动工作,具体的流程和依据可以参考《GB∕T 38645-2020 信息安全技术 网络安全事件应急演练指南》,本篇主要以windows应急响应的基础技术手段进行介绍。以上便是我对windows应急响应过程中常用的一些功能和分析方法,从9个方面进行了描述。
应急响应篇:windows入侵排查
kali_Ma的博客
09-08 1795
前言 应急响应(Incident Response Service,IRS)是当企业系统遭受病毒传播、网络攻击、黑客入侵等安全事件导致信息业务中断、系统宕机、网络瘫痪,数据丢失、企业声誉受损,并对组织和业务运行产生直接或间接的负面影响时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,同时分析入侵原因、还原入侵过程、评估业务损失、溯源黑客取证并提出解决方案和防范措施,减少企业因黑客带来的相关损失。本文主要讨论windows被入侵后的排查思路。 windows入侵排查利器:火绒剑 202
Windows应急响应 -Windows日志排查,系统日志,Web应用日志
wangyuxiang946的博客
04-07 2万+
Windows系统日志存放在 C:\Windows\System32\winevt\Logs\目录下,使用系统自带的【事件查看器】来查看 WIN + R,输入 eventvwr,打开事件查看器。 系统日志:记录系统进程、设备磁盘活动等 安全日志:记录安全性事件,比如用户登录/注销/权限变更 应用程序日志:记录系统安装的应用程序软件的运行日志。 4624:登录成功 4625:登录失败 4634:注销本地登录用户 4647:注销远程登录的用户 4648:使用显式凭证尝试登录 4672:新登录的用户被分配管理员权
window入侵排查
u012207466的博客
06-12 2335
## 第1篇:window入侵排查 常见的应急响应事件分类: web入侵:网页挂马、主页篡改、Webshell、后台弱口令 系统入侵:病毒木马、勒索软件、远控后门、系统命令执行、反序列化漏洞 网络攻击:DDOS攻击、DNS劫持、ARP欺骗 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Window服务器入侵排查的思路。 ### 0x01 入侵排查思路 ####...
windows 批处理
享受开发,颠倒银河
05-06 1552
批处理文件是无格式的文本文件,它包含一条或多条命令。它的文件扩展名为 .bat 或 .cmd。在命令提示下键入批处理文件的名称,或者双击该批处理文件,系统就会调用Cmd.exe按照该文件中各个命令出现的顺序来逐个运行它们。使用批 处理文件(也被称为批处理程序或脚本),可以简化日常或重复性任务。当然我们的这个版本的主要内容是介绍批处理在入侵中一些实际运用,例如我们后面要提到 的用批处理文件来给系统打
Linux &Windows应急响应手册.pdf
12-08
Linux &Windows应急响应手册.pdf
Windows应急响应手册
最新发布
07-11
windows 是一个闭源的操作系统,粗俗一点说就是一个大黑盒子,这给想要研究 windows安全的攻击与防守研究员都带来了麻烦,然而在攻击与防御对抗中,攻击者往往因为利益和兴趣驱使,通过进程追踪、逆向分析等方式率先...
windows应急响应
02-24
windows应急响应
Windows应急响应手册v1.0
02-04
几百页应急响应内容知识点,场景都包含
windows安全事件ID编号解释大全
hanzhen668的博客
09-14 2万+
windows安全事件ID编号解释大全
通过windows日志查看器查看系统登陆日志
gibbs_的博客
06-12 2万+
起因:回到工位发现自己电脑没锁屏,突然想找到查看windows登录记录的方法 参考: http://www.cflab.net/News/1522379153901 https://blog.csdn.net/C_chuxin/article/details/84974207 https://www.akunblog.com/archives/275.html 操作方法: 打开事件查看器 事件查看器->windows日志->安全 右侧选择筛选当前日志 筛选事件ID
Windows安全日志分析
安全狐
11-16 1万+
Windows日志文件主要有系统日志、应用程序日志、安全日志这三类,另外,根据不同的系统服务配置可能还会产生其他的日志文件,如Powershell日志、WWW日志、FTP日志、DNS服务器日志等。这些日志文件由Windows的EventLog服务生成并记录,EventLog服务由Windows服务管理器(%SystemRoot%\system32\services.exe)启动并管理。
日志事件ID
m0_62207482的博客
04-19 382
日志排查时,通常会根据事件ID搜索日志。4672:新登录的用户被分配管理员权限。4648:使用显式凭证尝试登录。4647:注销远程登录的用户。4634:注销本地登录用户。4732:添加用户到用户组。4733:从组中删除用户。4798:枚举本地用户组。4724:修改用户密码。4734:删除用户组。4738:修改用户账户。4722:启用新用户。4731:创建用户组。4735:安全组更改。
Windows中如何查看日志(如查看远程登陆的IP地址)以及常用日志ID
热门推荐
小C的博客
12-12 6万+
【时间】2018.12.12 【题目】Windows中如何查看日志(如查看远程登陆的IP地址)以及常用日志ID 概述 在Windows中可以使用 事件查看器 来查看相关日志,并结合日志ID进行日志筛选。常见的日志有: 4634 - 帐户被注销   4647 - 用户发起注销   4624 - 帐户已成功登录(可以查看   4625 - 帐户登...
Windows2008系统安全日志分析
安了的笔记
05-25 9075
Windows2008系统安全日志分析 1、IPC连接成功后会生成一个事件ID为4624的安全事件,示例如下: 已成功登录帐户。 主题:     安全 ID:        NULL SID     帐户名:        -     帐户域:        -     登录 ID:        0x0 登录类型:            3 新登录:   
Windows登录日志详解
weixin_33901641的博客
10-07 4540
2019独角兽企业重金招聘Python工程师标准>>> ...
Winserver 2008事件日志-事件ID详解
Jason_WangYing的博客
03-16 3万+
最近在研究服务器的安全性,发现有未知登录,然后开始研究,当然第一步是需要读懂事件日志的,winserver上的事件是按照事件ID来标示的。   审计目录服务访问   4934 - Active Directory 对象的属性被复制   4935 -复制失败开始   4936 -复制失败结束   5136 -目录服务对象已修改   5137 -目录服务对象已创建   5138 -目录服务

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

土豆.exe

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值