浅谈Windows入侵检查
1 准备工作
检查人员应该可以物理接触可疑的系统。因为黑客可能侦测到你可以在检查系统,例如网络监听,所以物理接触会比远程控制更好。
为了当做法庭证据可能需要将硬盘做实体备份。如果需要,断开所有与可疑机器的网络连接。
做入侵检查时,检查人员需要一台PC对检查的过程进行检查项目的结果记录。
请维护可疑服务器人员或者PC使用人员来配合,来确定机器上运行的服务和安装的软件,便于安全检查人员提交检查的效率和准确性。
2 基本检查点
检测不正常账户
查找被新增的账号,特别是管理员群组的(Administrators group)里的新增账户。
C:\lusrmgr.msc
C:\>net localgroup administrators
C:\>net localgroup administrateurs
查找隐藏的文件
在系统文件夹里查看最近新建的文件,比如C:\Windows\system32.
C:\>dir /S /A:H
检查注册表启动项
在Windoows 注册表里查看开机启动项是否正常,特别一下注册表项:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Runonce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunonceEx
检查不正常的服务
检查所有运行的服务,是否存在伪装系统服务和未知服务,查看可执行文件的路径。
检查账户启动文件夹
例如:Windows Server 2008
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup
查看正在连接的会话
C:\net use
检查计算机与网络上的其它计算机之间的会话
C:\net session
检查Netbios连接
C:\nbtstat –S
检查系统不正常网络连接
C:\netstat –nao 5
检查自动化任务
检查计划任务清单中未知的计划
C:\at
检查windows日志中的异常
检查防火墙、杀毒软件的事件,或任何可疑的记录。
检查大量的登入尝试错误或是被封锁的账户。
www服务器导入Web访问日志,并查看分析Web访问日志是否完整有攻击痕 迹。
检查www目录是否存在webshell网页木马,重点检查类似upload目录。
3.检查木马和后门
关于检查高级的木马和后门应依次检查这几项:启动项、进程、模块、内核、服务函数、联网情。使用工具更进一步检查隐藏木马和后门程序,可以使用PChunter
打开界面点击进程,我先对进程进行排查,随便选中一个进程右键菜单点击校验所有数字签名,pchunter会以不同的颜色来显示不同的进程种类。
数字签名是微软的进程:黑色
数字签名非微软的进程:蓝色
微软的进程,如果有些模块是非微软的:土黄色
没有签名的模块:粉红色
可疑进程,隐藏服务、被挂钩函数:红色
重点对数字签名不是微软的进程和驱动排查,尤其是无签名斌并隐藏服务、被挂钩的函数的进程和驱动,如:
对此驱动文件比较怀疑,可以右键点击pchunter在线分析上传到virscan扫描一下。
结果
4 检测注意项
如果这台机器业务很重要不能被切断网络连接,要备份所有重要的资料避免黑客注意到正在检测而删除文件。
如果这台机器业务不是很重要建议切断网络连接做物理隔离,将整个硬盘进行外置存储复制镜像。可以使用EnCase或者dd等。
尝试找出黑客活动的证据:
l 找到攻击者使用过的文件,包含被删除的文件(使用取证工具)查看这些文件做了什么,了解它的功能。
l 检查最近被存取的所有档案。
l 查找是否有远程控制或后门之类的传播。
l 尝试找出攻击者如何进入系统。所以可能都要考虑到。
l 修复攻击者利用的漏洞。
5.修复
不论攻击者入侵系统到什么程度以及安全检测人员检查的收攻击的了解,只要系统被渗透过,最好的方法就是用原始工具重新安装系统。然后在新系统上安装所有的补丁,www服务器按照安全标准配置目录权限和配置文件。
改变所有系统账号的密码
检查恢复那些已经被攻击者篡改的文件。
浅谈Windows入侵检查的更多相关文章
- 浅谈Windows环境下DOS及MS-DOS以及常见一些命令的介绍
浅谈Windows环境下DOS及MS-DOS以及常见一些命令的介绍 前记 自己是搞编程的,首先我是一个菜鸟,接触计算机这么久了,感觉很多计算机方面的技术和知识朦朦胧胧.模模糊糊,貌似有些贻笑大方了:所 ...
- 浅谈Windows API编程
WinSDK是编程中的传统难点,个人写的WinAPI程序也不少了,其实之所以难就难在每个调用的API都包含着Windows这个操作系统的潜规则或者是windows内部的运行机制…… WinSDK是编程 ...
- 利用ftp端口设置,浅谈windows防火墙之应用+ftp直接资源管理器登陆
win服务器的版本是不错的.防火墙也比较能用.server-u 6.4则是比较稳定.兼容性好的的版本,所以很多人在用 1.服务器为了安全,一般开启windows高级防火墙,在网络连接处右键鼠标,有弹出 ...
- 浅谈Windows Server APPFABRIC
hi,everyone !真的是好久好久没有update blog了,因为最近忙着备考,没有时间对<数据结构与算法>进行研究学习了.所以,blog一直未更新.today is Friday ...
- 浅谈Windows下SVN在Android Studio中的配置、基本使用及解除关联
看到网上很多关于svn环境配置和关联Android-Studio的很多博文,发现很零散,想集大家所长整理一下: 在AndroidStudio中开发版本控制中,除了Git就是SVN,和Eclipse不同 ...
- 浅谈Windows用户帐户控制(User Account Control,UAC)
Microsoft一个事实:大多数用户都用一个Administrator(管理员)帐户来登录Windows.利用这个帐户,用户几乎没有任何限制地访问重要的系统资源,因为该帐户被授予很高的权限.一旦用户 ...
- 《浅谈F5健康检查常用的几种方式》—那些你应该知道的知识(二)
版权声明:本文为博主原创文章,遵循 CC 4.0 by-sa 版权协议,转载请附上原文出处链接和本声明.本文链接:https://blog.csdn.net/sinat_17736151/articl ...
- 浅谈windows.onload()与$(document).ready()
浏览器加载完DOM后,会通过javascript为DOM元素添加事件,在javascript中,通常使用window.onload()方法. 在jquery中,则使用$(document).ready ...
- 【转】Windows SDK入门浅谈
前言 如果你是一个编程初学者,如果你刚刚结束C语言的课程.你可能会有点失望和怀疑:这就是C语言吗?靠它就能编出软件?无法想象Windows桌面上一个普通的窗口是怎样出现在眼前的.从C语言的上机作业到W ...
随机推荐
- JS中 逻辑或 || 逻辑与 && 的使用方法总结
JS中 逻辑或 || 逻辑与 && 的使用方法总结 //1.在if判断中 //if(1==1 || 2==3){}//->两个条件中只要有一个条件为真,整体就为真 "或 ...
- 实现简单HttpServer案例
<html> <head> <title>第一个表单</title> </head> <body> <pre> me ...
- Docker 安装 Filebeat
使用同版本镜像 7.4.1 1.下载Filebeat镜像 docker pull store/elastic/filebeat: docker images 2.下载默认官方配置文件wget http ...
- Nexus升级、license安装和恢复密码
原文链接:https://blog.csdn.net/ligang636/article/details/42386639 一.Nexus系列物理硬件1.1 Nexus 7010 1.2 Nexus ...
- 深度学习之父低调开源 CapsNet,欲取代 CNN
“卷积神经网络(CNN)的时代已经过去了!” ——Geoffrey Hinton 酝酿许久,深度学习之父Geoffrey Hinton在10月份发表了备受瞩目的Capsule Networks(Cap ...
- Codeforces Round #588 (Div. 2)E(DFS,思维,__gcd,树)
#define HAVE_STRUCT_TIMESPEC#include<bits/stdc++.h>using namespace std;long long a[100007];vec ...
- mysql查询最大值,最小值,平均值,总和
select max(score) maxScore,min(score) minScore,avg(score) avgScore,sum(score) sumScore from exam_sco ...
- BlockingQueue的几个实现分析
ArrayBlockingQueue 底层以数组的结构存放队列元素,容量大小不可改变. 先看下变量: items:数组,用于存放队列中的元素 takeIndex:获取元素的索引位置 putIndex: ...
- PAT T1016 Uniqueness of MST
dfs判断连通块的数量,prim算法建立最小生成树并判断是否唯一~ #include<bits/stdc++.h> using namespace std; ; const int inf ...
- Just a Hook-HDU1698 区间染色+区间查询
题意: hook有一根长度为n的棒,可以将它看成有n段,一开始每段都是铜,hook可以选择一段区间改变棒的属性, 棒有三种属性:铜=1,银=2,金=3,最后输出棒每段的属性总和. 链接:http:// ...