➢入侵排查(windows server 2016)
账号排查
net user
在红队的视角下,windows账户有三种
1.正常用户 net user能看到
2.隐藏用户 net user看不到,但是在控制面板、lusrmgr.msc 、用户组中能看到(在用户名后面有一个美元$符号)
net localgroup administrators- 影子用户 只有注册表中能看到
注册表排查
win+R
regedit
默认情况下SAM打不开,需要右键选择权限,选择管理员账户并选择可操作名称,然后F5刷新
此处zhangsan$即为影子用户
windows有哪些自带的用户
- Administrator (管理员) :这是具有完全控制和访问权限的管理员账户。默认处于禁用状态。
- DefaultAccount (默认账户) :这是Windows 10中的一个预配置账户,用于应用程序容器和系统组件的身份验证。它主要用于提供安全性和隔离性。
- Guest (访客) :该账户提供了-一个受限制的用户环境,允许临时用户使用计算机但不能进行敏感操作或更改系统设置。通常情况下,默认情况下此账户处于禁用状态。
- WDAGUtilityAccount:这是Windows Defender Application Guard (WDAG)实用程序账户。WDAG 是一-种安全功能,可在Microsoft Edge浏览器中隔离和保护来自不受信任来源的网站和文件。
网络排查
网络信息排查netstat
非管理员情况下输入
netstat - -ano
- 本地地址:我自己开了什么端口,谁能连我
-
外部地址:谁在连接我,或者我在连接谁
- 0.0.0.0:0 我谁也没连或者谁也没连我
- x.x.x.x:x 判断该IP是否有危险,可以前往威胁情报平台查询
管理员终端输入
netstat -anob可以看到某个进程具体是由哪个程序进行运行
寻找可疑进程
任务管理器
点击详细信息选项卡
根据pid寻找可疑进程详细信息
冷知识
黑客喜欢把木马程序放在Temp目录里面
因为这个文件夹允许任意文件上传下载
进程排查(用火绒剑代替任务管理器会好一些,会显示详细信息)
重名进程处理方法
可以在任务管理器详细信息或者打开进程文件位置即可发现
相似进程名
在系统进程下的相同目录创建相似名字的进程文件
例: monkey.exe -> m0nkey.exe注册表排查
注册表(Registry, 繁体中文版Windows操作系统称之为登录档案)是Microsoft Windows中的一一个重要的数据库,用于存储系统和应用程序的设置信息。win+R
`taskschd.msc`
- eg->register 注册表
- edit ->editor 编辑器
-
用户自启动项
(开机自启动, 黑客很多时候会把病毒文件设置开机自启)
- HKEY CURRENT USER\software\micorsoft\windows\currentversion\run
- HKEY LOCAL MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
- HKEY LOCAL MACHINE\Software\MicrosoftWindows\CurrentVersion\Runonce
镜像劫持
例 :打开微信,结果变成打开木马
hkey_ local machine\software\microsoft\windows nt\currentversion\image file execution options
系统相关信息排查
计划任务
taskschd.msc
查看计划任务
win+R `taskschd.msc`
服务
win+R services.msc
如何寻找流氓服务
手动排查
- 看名字
- 有
描述的一般没问题
文件目录
system32目录里面的文件一般没问题,里面的文件一定不能删
可疑文件
最近打开的文件
%UserProfile%\Recent自动化工具
一般杀毒软件杀不了做了免杀的杀毒软件
火绒剑可以
2578
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
