一、
1.取消勾选后缀名隐藏、文件夹隐藏、保护操作系统文件隐藏。
2.查看网络连接 netstat -ano
- 只有80和443端口,一般都是正常业务开放端口,这种情况一般都比较正常。
- 主机存在对内网网段大量主机的某些端口(常见如22,445,3389,6379等端口)或者全端口发起网络连接尝试,这种情况一般是当前主机被攻击者当作跳板机对内网实施端口扫描或者口令暴力破解等攻击。
- 注:对这种外网ip进行威胁情报查询
3.如果无法从网络连接进行查询,可以通过进程PID查找对应的程序。
二、查看铭感目录
1.临时目录 c:\TEMP 、c:\Windows\Temp
2.用户目录下临时变更文件 c:\Uesr\用户名\AppData\Roaming
3.用户最近创建的快捷方式 c:\Uesr\用户名\Recent
4.每个盘符下面的回收站 c:$Recycle.Bin
三、后门
1.查看粘连建exe的创建时间、修改时间是不是一样的。C:\Windows\System32\sethc.exe
2.注册表
- 查看注册表中映像的健值(regedit)“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options”下所有exe项中是否有debugger键,若有debugger键,将其键值对应的程序上传至VT检测。
- 账号 HKLM\SAM\SAM\Domains\Account\Users\Names中是否有多余的账号
四、启动项
1.打开gpedit.msc–计算机配置/用户配置–Windows设置–脚本,在此处可设置服务器启动/关机或者用户登录/注销时执行的脚本。下图1、2两处的脚本均需要查看是否添加有脚本。
五、查看系统安全日志
1.查看异常登录日志
2.登录失败日志
一、
1.取消勾选后缀名隐藏、文件夹隐藏、保护操作系统文件隐藏。
2.查看网络连接 netstat -ano
- 只有80和443端口,一般都是正常业务开放端口,这种情况一般都比较正常。
- 主机存在对内网网段大量主机的某些端口(常见如22,445,3389,6379等端口)或者全端口发起网络连接尝试,这种情况一般是当前主机被攻击者当作跳板机对内网实施端口扫描或者口令暴力破解等攻击。
- 注:对这种外网ip进行威胁情报查询
3.如果无法从网络连接进行查询,可以通过进程PID查找对应的程序。
二、查看铭感目录
1.临时目录 c:\TEMP 、c:\Windows\Temp
2.用户目录下临时变更文件 c:\Uesr\用户名\AppData\Roaming
3.用户最近创建的快捷方式 c:\Uesr\用户名\Recent
4.每个盘符下面的回收站 c:$Recycle.Bin
三、后门
1.查看粘连建exe的创建时间、修改时间是不是一样的。C:\Windows\System32\sethc.exe
2.注册表
- 查看注册表中映像的健值(regedit)“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options”下所有exe项中是否有debugger键,若有debugger键,将其键值对应的程序上传至VT检测。
- 账号 HKLM\SAM\SAM\Domains\Account\Users\Names中是否有多余的账号
四、启动项
1.打开gpedit.msc–计算机配置/用户配置–Windows设置–脚本,在此处可设置服务器启动/关机或者用户登录/注销时执行的脚本。下图1、2两处的脚本均需要查看是否添加有脚本。
五、查看系统安全日志
1.查看异常登录日志
2.登录失败日志
一、
1.取消勾选后缀名隐藏、文件夹隐藏、保护操作系统文件隐藏。
2.查看网络连接 netstat -ano
- 只有80和443端口,一般都是正常业务开放端口,这种情况一般都比较正常。
- 主机存在对内网网段大量主机的某些端口(常见如22,445,3389,6379等端口)或者全端口发起网络连接尝试,这种情况一般是当前主机被攻击者当作跳板机对内网实施端口扫描或者口令暴力破解等攻击。
- 注:对这种外网ip进行威胁情报查询
3.如果无法从网络连接进行查询,可以通过进程PID查找对应的程序。
二、查看铭感目录
1.临时目录 c:\TEMP 、c:\Windows\Temp
2.用户目录下临时变更文件 c:\Uesr\用户名\AppData\Roaming
3.用户最近创建的快捷方式 c:\Uesr\用户名\Recent
4.每个盘符下面的回收站 c:$Recycle.Bin
三、后门
1.查看粘连建exe的创建时间、修改时间是不是一样的。C:\Windows\System32\sethc.exe
2.注册表
- 查看注册表中映像的健值(regedit)“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options”下所有exe项中是否有debugger键,若有debugger键,将其键值对应的程序上传至VT检测。
- 账号 HKLM\SAM\SAM\Domains\Account\Users\Names中是否有多余的账号
四、启动项
1.打开gpedit.msc–计算机配置/用户配置–Windows设置–脚本,在此处可设置服务器启动/关机或者用户登录/注销时执行的脚本。下图1、2两处的脚本均需要查看是否添加有脚本。
五、查看系统安全日志
1.查看异常登录日志
2.登录失败日志
系统日志:
%SystemRoot%\System32\Winevt\Logs\System.evtx
应用日志:
%SystemRoot%\System32\Winevt\Logs\Application.evtx
安全日志:
%SystemRoot%\System32\Winevt\Logs\Security.evtx
1.事件日志分析
- 按 “Window+R”,输入 ”eventvwr.msc“ 也可以直接进入“事件查看器"
- windows日志–安全
– | – |
---|---|
事件ID | 说明 |
4624 | 登录成功 |
4625 | 登录失败 |
4634 | 注销成功 |
4647 | 用户启动的注销 |
4672 | 使用超级用户(如管理员)进行登录 |
4720 | 创建用户 |
每个成功登录的事件都会标记一个登录类型,不同登录类型代表不同的方
– | – | – |
---|---|---|
登录类型 | 描述 | 说明 |
2 | 交互式登录(interactive) | 用户在本地进行登录 |
3 | 网络(Network) | 最常见的情况就是连接到共享打印机和共享文件夹得时候。 |
4 | 批处理(batch) | 通常表明某计划任务启动 |
5 | 服务(service) | 每种服务都被配置在某个特定的用户账号下运行。 |
7 | 解锁(Unlock) | 屏保解锁 |
8 | 网络明文(network) |
作者
https://www.freebuf.com/articles/system/255107.html