网络安全应急响应-基础技能

网络安全应急响应专题文章：

1. 网络安全应急响应-日志分析技术

2. 网络安全应急响应-流量分析技术

3. 网络安全应急响应-恶意代码分析技术

4. 网络安全应急响应-终端检测与响应技术

5. 网络安全应急响应-电子数据取证技术

6. 网络安全应急响应-常用工具

7. 网络安全应急响应-基础技能

系统排查

一 、系统基本信息

1. Windows系统

1. 系统信息工具

使用命令“msinfo32”，打开系统信息窗口，可以查看本地计算机硬件资源、组件和软件环境，其中包含正在运行的任务、服务、系统驱动程序、加载的模块、启动程序等。

2. 正在运行任务

在【信息系统】的【软件环境】中点击【正在运行任务】，可以查看到正在运行任务名称、路径、进程ID等。

3. 服务

在【信息系统】的【软件环境】中点击【服务】，可以查看服务的名称、状态、路径等。

4. 系统驱动程序

在【信息系统】的【软件环境】中点击【系统驱动程序】，可以查看系统驱动程序的名称、描述、文件等。

5. 加载的模块

在【信息系统】的【软件环境】中点击【加载的模块】，可以查看加载模块的名称、路径等。

6. 启动程序

在【信息系统】的【软件环境】中点击【启动程序】，可以查看驱动程序的命令、用户名、位置等。

2. Linux系统

1. CPU信息

使用命令“lscpu”可以查看CPU信息，包括型号、主频、内核等。

2. 操作系统信息

使用命令“uname -a”可以查看当前操作系统版本信息。

3. 模块信息

使用命令“lsmod”可以查看所有已载入系统的模块信息。

二. 、用户信息

1. Windows系统

1. 命令行方法

使用命令“net user”，可以查看到用户账户信息（不会显示$结尾的隐藏账户），如果查看某个用户详细信息，可以使用命令“net user username”。

2. 图形界面方法

在【计算机管理】-【本地用户和组】-【用户】中查看用户，也可以使用命令“lusrmgr”在这里可以查看到带$的隐藏账户。

3. 注册表方法

在注册表计算机\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names中查看用户信息。

如果SAM下没有内容，需要先给SAM启用继承，步骤如下：

• SAM右键，点击权限-高级-启用权限-应用，然后F5刷新注册表。
  
  

4. wmic方法

使用命令“wmic useraccount get name,SID”,可以查看系统中的用户信息。

2. Linux系统

1. 查看系统所有用户信息

使用命令“cat /etc/passwd”可以查看系统所有用户信息，显示 /bin/bash的表示可登录， /sbin/nologin表示不可登录。

2. 分析超级权限账户

使用命令“awk -F : '{if($3==0)print $1}' /etc/passwd”可以查询UID为0的账户。

3. 查看可登录的账户

使用命令“cat /etc/passwd | grep '/bin/bash'”可以查看可登录的账户。

4. 查看用户错误的登录信息

使用命令“lastb”可以查看用户错误登录的登陆列表。

5. 查看所有用户最后的登录信息

使用命令“lastlog”可以查看所有用户登录的最后信息。

6. 查看用户最近登录信息

使用命令“last”可以查看用户最近登录信息。

7. 查看当前用户登录系统情况

使用命令“who”可以查看当前用户登录系统情况。

8. 查看空口令账户

使用命令“awk -F: 'length($2)==0 {print $1}' /etc/shadow”可以查看存在空口令的账户。

三 、启动项

1. Windows系统

1. 通过系统配置对话框查看

按住Ctrl+Shift+Esc打开任务管理器，点击启动，查看启动项的详细信息。

2. 通过注册表查看

• HKEYCLASSESROOT：此处存储的信息可确保在Windows资源管理器中执行时打开正确的程序。它还包含有关拖放规则、快捷方法和用户界面信息的更多详细信息。
• HKEYCURRENTUSER：包含当前登录系统的用户的配置信息，有用户的文件夹、屏幕颜色和控制面板设置。
• HKEYLOCALMACHINE：包含运行操作系统的计算机硬件特定信息，有系统上安装的驱动器列表及已安装硬件和应用程序的通用配置。
• HKEYUSERS：包含系统上所有用户配置文件的配置信息，有应用程序配置和可视设置。
• HKEYCURRENTCONFIG：存储有关系统当前配置的信息。

2. Linux系统

可以使用三个命令：cat /etc/init.d/rc.local、cat /etc/rc.local、ls -alt /etc/init.d。

四 、计划任务

1. Windows系统

• 【计算机管理】-【系统工具】-【任务计划程序】-【任务计划程序库】中可以查看任务计划的名称、状态、触发器等信息。
  

• 在power shell下使用命令“Get-ScheduledTask”，可以查看系统中所有的任务计划，包括名称、路径、状态等。
  

• 使用命令“schtasks”，可以查看任务计划详细信息。
  

2. Linux系统

• 使用命令“crontab -l”可以查看当前的任务计划。
  

• 查看任务计划文件
  Linux中，任务计划文件一般以cron开头，使用命令“ls /etc/cron*”查看etc目录下所有cron开头的文件。
  

五 、 其他

1. Windows系统

• 【高级安全 Windows Defender 防火墙】中可查看防火墙的入站规则和出站规则。
  

• 使用命令“netsh advfirewall firewall”可以显示当前防火墙的网络配置状态。
  

2. Linux系统

使用命令“systemctl status firewalld”查看防火墙状态。

---

进程排查

1. Windows系统

• 按住Ctrl+Shift+Esc打开【任务管理器】查看进程。
  

• 使用命令“tasklist”查看所有进程。
  

• 使用命令“tasklist /svc”查看进程和服务的对应情况。
  

• 使用命令“tasklist /m”查看DLL进程。
  

• 使用命令“netstat -ano | findstr "ESTABLISHED"”查看当前的网络连接。
  

• power shell中使用命令“Get-WmiObject Win32_Process | select Name,ProcessId,ParentProcessId,Path”。
  

• 使用命令“wmic process get name,parentprocessid,processid /format:csv”以csv格式显示进程的名称、父进程ID、进程ID。
  

2. Linux系统

• 使用命令“netstat -antlp”查看网络连接。
  

• 使用命令“ls -alt /proc/1562”可查看进程的可执行程序（1562为进程PID）。
  

• 使用命令“lsof -p 1562”可查看进程所打开的文件（1562为进程PID）。
  

• 依次使用命令“ps -ef | awk '{print}' | sort -n | uniq >1”、“ls /proc | sort -n | uniq >2”、“diff 1 2”可以查看隐藏进程。
  

服务排查

1. window系统

• 运行命令“services.msc”,可以打开服务窗口。
  

2. Linux系统

• 使用命令“chkconfig --list”可以查看运行的服务。
  

• 使用命令“service --statuss-all”可以查看所有服务状态。
  

文件痕迹排查

1. window系统

• 查看“C:\Windows\Temp”临时文件夹。
  

• 查看浏览器历史记录和下载文件等。

• 查看“C:\Windows\Prefetch”预读取文件夹。
  

2. Linux系统

• 查看“/tmp/”、“/usr/bin/”和“/usr/sbin/”目录。
  
  
  

• 查看“~/.ssh”和“/etc/ssh”目录。

• 使用命令“find /tmp/ -perm 777”查看/tmp目录下777权限文件。
  

• 使用命令“find / -type f -perm -04000 -ls -uid 0 2>/dev/null”查看SUID权限的程序。