文件排查

开机启动有无异常文件

msconfig

敏感的文件路径

%WINDIR%
%WINDIR%\SYSTEM32\
%TEMP%
%LOCALAPPDATA%
%APPDATA%
  • 用户目录

新建账号会在这个目录生成一个用户目录,查看是否有新建用户目录

Window 2003 C:\Documents and Settings

Window 2008R2 C:\Users\

  • 回收站
  • 浏览器下载记录/目录
  • 浏览器历史记录

文件排查

  • 临时文件目录

各个盘下的temp(tmp)相关目录下查看有无异常文件:windows产生的临时文件

  • 最近使用项目

Recent是系统文件夹,里面存放着最近使用的文档的快捷方式,查看用户recent相关文件,通过分析最近打开的可疑文件分析

开始-运行-%UserProfile%\Recent

C:\Documents and Settings\Administrator\Recent

C:\Documents and Settings\Default User\Recent

windows10 C:\Users\用户名\AppData\Roaming\Microsoft\Windows\Recent

  • 文件搜索/排序

根据文件夹内文件列表时间进行排序,查找可疑文件,当然也可以搜索指定日期范围的文件

  • 文件时间

创建时间,修改时间,访问时间,黑客通过菜刀类工具改变的是修改时间,所以,如果修改时间在创建时间之前明显是可疑文件

进程排查

网络连接 netstat

netstat [参数] 查看网络连接状况

参数 作用
-b 显示在创建每个连接或监听端口时涉及的可执行程序,
需要管理员权限,这条指令对于查找可以程序非常有帮助
-a 显示所有网络连接,路由表和网络接口信息
-n 以数字形式显示地址和端口号
-o 显示与每个连接相关的所属进程ID
-r 显示路由表
-s 显示按协议统计信息,默认地,显示IP

常见状态说明

状态 解释
LISTENING 监听状态
ESTABLISHED 建立连接
CLOSE_WAIT 对方主动关闭连接或者网络异常导致连接中断

显示进程 tasklist

TASKLIST [/S system [/U username [/P [password]]]] [/M [module] | /SVC | /V] [/FI filter] [/FO format] [/NH] 显示运行在本地或远程计算机上的所有进程

根据netstat定位出的pid,再通过tasklist命令进行进程定位,

tasklist | findstr pid

tasklist /svc 显示 进程-PID-服务

wmic

wmic process 获取进程的全路径 wmic process | findstr "程序名"

作用 命令示例
查询进程 wmic process(带有cmdline)
wmic process list brief
删除进程 wmic process where processid="2345" delete
查询服务 wmic SERVICE(涵盖服务关联所有信息)
wmic SERVICE where caption(name)="xxx" call stopservice
wmic service where caption(name)="xxx" call delete
启动项枚举 wmic startup list full
计划任务枚举 schtasks /query /fo table /v (执行前先执行chcp 437)

msinfo32

开始-运行-msinfo32

任务管理器

任务管理器-查看-选择列-PID



系统信息排查

环境变量

set
我的电脑-属性-高级系统设置-高级-环境变量

计划任务

程序-附件-系统工具-任务计划程序
开始-运行-compmgmt.msc
开始-设置-控制面板-任务计划
开始-运行-cmd-at

启动项

  • 开始-所有程序-启动

此目录默认情况下是个空目录

  • gpedit.msc 组策略

服务自启动

  • service.msc

开始-运行-service.msc

账号信息(隐藏账号等)

开始-运行-compmgmt.msc-本地用户和组-用户	用户名以$结尾的为隐藏用户
net user [username] 查看用户信息
lusrmgr.msc

克隆账号

  • 打开注册表,查看管理员对应键值

注册表项:

  • 使用D盾WEB查杀工具,集成了对克隆账号检测的功能

query user

query user 查看当前系统的会话

logoff

logoff ID 踢出用户

systeminfo

systeminfo 查看系统信息,系统版本,补丁信息等

https://github.com/neargle/win-powerup-exp-index

日志排查

windows登陆日志排查

eventnwr.msc - windows日志 - 安全 打开事件查看器

  • 主要分析安全日志,可以借助自带的筛选功能



  • 使用Log Parser分析导出的windows安全日志

  • 可以把日志导出为文本格式,然后使用notepad++打开,使用正则模式去匹配远程登录过的IP地址,在界定事件日期范围的基础

    ((?:(?:25[0-5] | 2[0-4]\d | ((1\d{2}) | ([1-9]?\d))).){3}(?:25[0-5] | 2[0-4]\d | ((1\d{2}) | ([19]?\d)))) 正则

中间件日志(web日志access_log)

默认中间件日志路径

  • nginx

Nginx/logs/

  • apache

Apache/logs/

  • iis

iis6:C:\windows\system32\LogFiles(iis管理器-网站-属性-网站-属性-日志记录属性)

iis7.5+:%SystemDrive%\inetpub\logs\LogFiles(iis管理器-网站-站点-日志-)

  • tomcat

tomcat/logs/

| 文件 | 说明 |

| ---- | ---- |

| localhost_access_log.日期.txt | tomcat的请求的所有地址以及请求的路径、时间,请求协议以及返回码等信息(重要) |

| catalina.日期.log | Cataline引擎的日志文件 |

| commons-daemon.日期.log | 利用服务方式启动tomcat作为守护进程的日志记录 |

| host-manager.日期.log | tomcat的自带的manager项目的日志信息 |

| tomcat7-stderr.日期.log | log4j的错误日志 |

| tomcat7-stdout.日期.log | 程序中的System语句打印的日志(包括系统抛出的异常) |

  • jboss
  • weblogic

{jboss.server.log.dir}/server.log,如:D:\jboss-eap-4.3\jboss-as\server\slim\log\server.log

修改配置文件jboss-log4j.xml()更改默认日志路径,如:jboss-eap-4.3\jboss-as\server<server_name>\conf\jboss-log4j.xml

默认配置情况下,WebLogic会有三种日志,分别是access log, Server log和domain log

WebLogic 8.x 和 9及以后的版本目录结构有所不同。

WebLogic 9及以后版本:

access log在 $MW_HOME\user_projects\domains<domain_name>\servers<server_name>\logs\access.log

server log在 $MW_HOME\user_projects\domains<domain_name>\servers<server_name>\logs<server_name>.log

domain log在 $MW_HOME\user_projects\domains<domain_name>\servers<adminserver_name>\logs<domain_name>.log

WebLogic 8.x 版本:

access log在 $MW_HOME\user_projects\domains<domain_name><server_name>\access.log

server log在 $MW_HOME\user_projects\domains<domain_name><server_name><server_name>.log

domain log在 $MW_HOME\user_projects\domains<domain_name><domain_name>.log

其中:

$MW_HOME是WebLogic的安装目录

<domain_name>是域的实际名称,是在创建域的时候指定的

<server_name>是Server的实际名称,是在创建Server的时候指定的

<adminserver_name>是Admin Server的实际名称,是在创建Admin Server的时候指定的

  • websphere

IBM\WebSphere\AppServer\profiles\AppSrv01\logs\server1\SystemOut.log

  • 知道上传目录,在web log 中查看指定时间范围包括上传文件夹的访问请求

    findstr /s /m /I “UploadFiles” *.log
  • 某次博彩事件中的六合彩信息是six.js

    findstr /s /m /I “six.js” *.aspx

    根据shell名关键字去搜索D盘spy相关的文件有哪些
  • for /r d:\ %i in (*spy*.aspx) do @echo %i

工具排查

Microsoft NetWork Monitor 一款轻量级网络协议数据分析工具

PC Hunter

颜色 解释
黑色 微软签名的驱动程序
蓝色 非微软签名的驱动程序
红色 驱动检测到的可以对象
隐藏服务,进程,被挂钩函数

ProcessExplorer windows系统和应用程序监视工具

  • 子父进程一目了然
  • 属性中的关键信息:

映象]->[路径/命令行/工作目录/自启动位置/父进程/用户/启动时间]

[TCP/IP]

[安全]->[权限]

  • 想了解不同颜色意思?[选项]->[配置颜色]

Procexp是常用的进程查看工具

  • 打开procexp,在标题栏右键,可以勾选其它一些选项卡
  • 进程标识颜色不同是用于区分进程状态和进程类型,进程开始启动时为绿色,结束时为红色
  • 可对某个进程进行操作,右键单击即可



Scylla_x86/x64是一款常用的PE工具,用于修复PE的IAT表及内存转储

下载地址:https://down.52pojie.cn/Tools/PEtools/Scylla.v.0.9.8.rar

  • 在附加进程栏喧杂要附加的进程
  • 选择好后,找到页面的dump按钮(中文版为"转储到文件"),即可将内存dump到本地

Registry Workshop 注册表编辑器

利用 Registry Workshop 注册表编辑器的搜索功能,可以找到最后写入时间区间的文件

其它工具

病毒分析

PCHunter:http://www.xuetr.com

火绒剑:https://www.huorong.cn

Process Explorer:https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer

processhacker:https://processhacker.sourceforge.io/downloads.php

autoruns:https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns

OTL:https://www.bleepingcomputer.com/download/otl/

SysInspector:http://download.eset.com.cn/download/detail/?product=sysinspector

病毒查杀

卡巴斯基:http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe (推荐理由:绿色版、最新病毒库)

大蜘蛛:http://free.drweb.r u/download+cureit+free(推荐理由:扫描快、一次下载只能用1周,更新病毒库)

火绒安全软件:https://www.huorong.cn

360杀毒:http://sd.360.cn/download_center.html

病毒动态

CVERC-国家计算机病毒应急处理中心:http://www.cverc.org.cn

微步在线威胁情报社区:https://x.threatbook.cn

火绒安全论坛:http://bbs.huorong.cn/forum-59-1.html

爱毒霸社区:http://bbs.duba.net

腾讯电脑管家:http://bbs.guanjia.qq.com/forum-2-1.html

在线病毒扫描网站

http://www.virscan.org //多引擎在线病毒扫描网 v1.02,当前支持 41 款杀毒引擎

https://habo.qq.com //腾讯哈勃分析系统

https://virusscan.jotti.org //Jotti恶意软件扫描系统

http://www.scanvir.com //针对计算机病毒、手机病毒、可疑文件等进行检测分析

webshell查杀

D盾_Web查杀:http://www.d99net.net/index.asp

河马webshell查杀:http://www.shellpub.com

深信服Webshell网站后门检测工具:http://edr.sangfor.com.cn/backdoor_detection.html

Safe3:http://www.uusec.com/webshell.zip

致谢:bypass007,张永印

WinDows应急响应基础的更多相关文章

  1. Windows应急响应常识

    Windows 应急响应 常见事件ID 1102 清理审计日志 4624 账号登陆成功 4625 账号登陆失败 4672 授予特殊权限 4720 创建用户 4726 删除用户 4728 将成员添加到启 ...

  2. 【命令汇总】Windows 应急响应

    日期:2019-06-07 16:11:49 作者:Bay0net 介绍:Windows 应急响应.取证及溯源相关内容学习记录 0x00.前言 常见的应急分类: web入侵:网页挂马.主页篡改.Web ...

  3. Linux应急响应基础

    文件排查 敏感目录文件分析 tmp目录 命令目录 /usr/bin /usr/sbin 开机启动项 /etc/init.d /etc/init.d是/etc/rc.d/init.d的软链接 文件时间 ...

  4. Windows应急响应和系统加固(2)——Windows应急响应的命令使用和安全检查分析

    Windows应急响应的命令使用和安全检查分析 1.获取IP地址: ·ipconfig /all,获取Windows主机IP地址信息: ·ipconfig /release,释放网络IP位置: ·ip ...

  5. 【应急响应】Windows应急响应入门手册

    0x01 应急响应概述   首先我们来了解一下两个概念:应急响应和安全建设,这两者的区别就是应急响应是被动响应.安全建设是主动防御.  所谓有因才有果,既然是被动的,那么我们在应急响应的时候就得先了解 ...

  6. windows应急响应入侵排查思路

    0x00 前言 ​ 当企业发生黑客入侵.系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解 ...

  7. 5.Windows应急响应:挖矿病毒

    0x00 前言 随着虚拟货币的疯狂炒作,挖矿病毒已经成为不法分子利用最为频繁的攻击方式之一.病毒 传播者可以利用个人电脑或服务器进行挖矿,具体现象为电脑CPU占用率高,C盘可使用空间骤降, 电脑温度升 ...

  8. 4.Windows应急响应:勒索病毒

    0x00 前言 勒索病毒,是一种新型电脑病毒,主要以邮件.程序木马.网页挂马的形式进行传播.该病毒性质恶劣. 危害极大,一旦感染将给用户带来无法估量的损失.这种病毒利用各种加密算法对文件进行加密,被感 ...

  9. 3.Windows应急响应:蠕虫病毒

    0x00 前言 蠕虫病毒是一种十分古老的计算机病毒,它是一种自包含的程序(或是一套程序),通常通过网络途径传播, 每入侵到一台新的计算机,它就在这台计算机上复制自己,并自动执行它自身的程序.常见的蠕虫 ...

随机推荐

  1. hive中not in优化

    比如:A,B两表,找到ID字段中,存在A表,但不存在B表的数据. A表共13w,去重后3w,B表共2W,且有索引 方法一 not in,易理解,效率低,时间:1.395s )

  2. ssd存储的SLC、MLC、TLC闪存芯片颗粒有什么区别?

    SLC = Single-Level Cell ,即1bit/cell,速度快寿命长,价格贵(约MLC 3倍以上的价格),约10万次擦写寿命: MLC = Multi-Level Cell,即2bit ...

  3. JMeter的那些问题

    我们从以下几个点来看jmeter: 1.jmeter是什么? 2.jmeter为什么我们要使用jmeter?他可以帮我们解决那些事情? 3.怎样使用jmeter做这些事情? 4.我们在什么时候会使用j ...

  4. Cocos2d Box2D之碰撞检测

    |   版权声明:本文为博主原创文章,未经博主允许不得转载. 在Box2D中碰撞事件由b2ContactListener类函数实现,b2ContactListener是Box2D提供的抽象类,它的抽象 ...

  5. 如何使用 VLD 检测程序中的内存泄漏?

    下载地址:https://kinddragon.github.io/vld/ 下载 windows 安装包,进行安装即可,它会给你设置好 vs 的环境变量,使用时,直接在 vs ide 中包含即可. ...

  6. SQL优化:一篇文章说清楚Oracle Hint的正确使用姿势

    一.提示(Hint)概述 1为什么引入Hint? Hint是Oracle数据库中很有特色的一个功能,是很多DBA优化中经常采用的一个手段.那为什么Oracle会考虑引入优化器呢?基于代价的优化器是很聪 ...

  7. PHP导出带有emoji表情的文本到excel文件出问题了

    前段时间做了一个导出用户信息(包含微信昵称)到excel文件的功能,一直没问题,今天突然有人反馈说导出来的数据有一些丢失了.我试了一下,发现有些数据导出没问题,有些有问题,某些列出现了空白,数据打印出 ...

  8. SpringBoot2.x整合Shiro(一)

    一:什么是ACL和RBAC: ACL: Access Control List 访问控制列表 以前盛行的一种权限设计,它的核心在于用户直接和权限挂钩 优点:简单易用,开发便捷 缺点:用户和权限直接挂钩 ...

  9. 五、Redis五种类型 - 字符串类型

    1.介绍: 字符串类型是Redis中最基本的数据类型,可以存储任何形式的字符串数据,最大容量是512MB. key 和 value 都是区分大小写的. 2.命令介绍 (1).赋值: set key v ...

  10. Mongo导出、导入

    1.mongodb 数据导出: connection options: /h, /host:<hostname> mongodb host to connect to (setname/h ...