你的电脑被黑过吗?7个步骤帮你排查

「作者简介」:CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者
「推荐专栏」:对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》

你的电脑被黑过吗?7个步骤帮你排查_第1张图片

Windows应急响应

  • 一、用户分析
    • 1、普通用户
    • 2、隐藏用户
    • 3、克隆账户
  • 二、日志分析
    • 1、Windows系统日志
    • 2、Web日志
  • 三、网络分析
  • 四、进程服务
  • 五、启动项
  • 六、计划任务
  • 七、敏感文件目录

一、用户分析

攻击者通常会在服务器中创建用户进行维权,查看是否有新增的可疑账号,核实后禁用或删除。

1、普通用户

1)cmd中,输入 net user ,查看系统中创建的用户。

2)【控制面板】-【用户账户】-【用户账户】-【管理用户账户】中,可以看到系统中有哪些用户。

3)net user administrator,可以查看指定用户的信息,比如上次登录时间。

2、隐藏用户

隐藏用户(username$)不能在 net user 和控制面板中看到。

1)WIN + R,输入 lusrmgr.msc ,打开本地用户和组,可以看到系统中的所有用户,包括隐藏用户。

2)WIN + R,输入 regedit ,打开注册表,找到\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names

这个路径,可以看到系统中的所有用户,包括隐藏用户。

3、克隆账户

克隆账户通过修改注册表中的F值,使隐藏用户在不加入管理员组的情况下拥有管理员权限。

可以到注册表\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names中,查看是否有隐藏用户(username$),如果有,就看这个用户对应的F值和administrator对应的F值是否相同,如果相同,就是克隆账号。

你的电脑被黑过吗?7个步骤帮你排查_第2张图片


二、日志分析

日志可以高效的帮助我们分析、溯源攻击事件。

1、Windows系统日志

1)WIN + R,输入 eventvwr,打开事件查看器。

在这里插入图片描述
2)右键系统或安全日志 - 【筛选当前日志】,根据事件ID(Event id)筛选日志,快速定位入侵事件。

在这里插入图片描述
常用的事件ID有:

  • 4624:登录成功
  • 4625:登录失败
  • 4720:新建用户
  • 4724:修改用户密码
  • 104:日志被清除
  • 1074:开机、关机、重启时间及原因

2、Web日志

从Web应用日志中,可以分析攻击者在什么时间、使用哪个IP,访问了哪个网站,反推出攻击路径。

1)IIS日志通常存放在%systemroot%\system32\logfiles\W3SVC1\目录。

2)Apache日志存放在/apache/logs/ 目录,access.log/error.log。

3)Tomcat日志存放在/logs 目录

4)WebLogic 8.x版本:WebLogic安装路径\user_projects\domains\
WebLogic 9及以后版本:WebLogic安装路径\user_projects\domains\\servers\\logs\

5)Jboss日志存放在/server/default/log/

6)Nginx日志默认存放在/usr/local/nginx/logs,access.log/error.log。

三、网络分析

netstat -ano 查看网络连接,LISTENING表示监听状态。

在这里插入图片描述

netstat -ano | findstr "443" 查看指定端口的连接状态。

四、进程服务

1)tasklist 命令查看计算机上的进程。

在这里插入图片描述

tasklist /v 显示详细信息(所有字段)
tasklist /svc 显示进程和服务的对应关系
tasklist /m 显示加载的DLL文件

2)wmic process命令也可以查看进程,比tasklist更加详细

wmic process get name,processid 过滤字段
wmic process where processid=453 过滤值

3)WIN +R,输入services.msc,打开服务工具,查看自启动的服务。

你的电脑被黑过吗?7个步骤帮你排查_第3张图片

五、启动项

为了防止被控机器失联,很多恶意程序会把自己添加到系统启动项中,在开机时自动运行。

1)WIN + R,输入msconfig,查看启动项中是否有异常的启动项目,有则禁用。

WIN10移动到任务管理器里面了。

你的电脑被黑过吗?7个步骤帮你排查_第4张图片

2)WIN + R,输入gpedit.msc,打开本地组策略编辑器,检查是否有异常的启动脚本。

你的电脑被黑过吗?7个步骤帮你排查_第5张图片

3)WIN + R,输入regedit,打开注册表,重点看下面这三个地方(第一个是用户设置的启动项,后两个是系统设置的启动项)。
\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run

4)WIN + R,输入msinfo32,打开系统信息工具,检查是否有异常的启动程序。

你的电脑被黑过吗?7个步骤帮你排查_第6张图片

5)左下角【开始】-【所有程序】-【启动】,打开是一个目录,检查里面有没有异常启动项。

六、计划任务

很多恶意程序会把自己添加到计划任务中,在固定时间启动。

1)WIN + R,输入taskschd.msc,打开任务计划程序,检查是否有异常的计划任务。

你的电脑被黑过吗?7个步骤帮你排查_第7张图片

2)打开cmd,输入schtasks,默认展示所有的计划任务(和tasksched同步)。

你的电脑被黑过吗?7个步骤帮你排查_第8张图片

七、敏感文件目录

Windows系统有很多敏感目录,可以帮助我们寻找攻击路径。

1)WIN + R ,输入 %UserProfile%\Recent,打开Recent目录,这里记录了最近打开的文件。

在这里插入图片描述

2)WIN + R ,输入 %temp%,打开Windows的临时目录,里面的文件默认拥有当前登录用户的读写权限,常被用来提权,重点检查exe、dll、sys文件,或者特别大的文件。

在这里插入图片描述

将可疑文件上传到沙箱或情报中心分析,比如:

  • 奇安信威胁情报中心:https://ti.qianxin.com/
  • VT文件分析平台:https://www.virustotal.com/gui/home/upload

3)WIN + R ,输入 %systemroot%\Prefetch,打开预读取文件夹,这里会缓存访问过的文件,以便下次访问时可以更快的加载。

在这里插入图片描述

4)查看浏览器的浏览记录、下载记录、Cookie信息进行协助分析。

5)使用相关工具查杀可疑文件。

服务器通常会安装杀毒软件,全盘扫描即可,如果没装就装一个。

杀毒软件一般不会做驱动对抗,如果怀疑是驱动类型的病毒,需要用专杀工具(奇安信顽固病毒专杀工具、360急救箱等)。

你可能感兴趣的:(《网络安全入门到精通》,网络安全,人工智能,gpt-3)