奇安信应急响应-Windows

处置思路方法和Linux是一致的，

系统命令，

有一些整蛊的就会锁定你，不让你用鼠标点击，就通过命令其打开就好

 

 findstr命令跟linux一样查找关键字，图中就是hello关键字，然后.txt的文件，

 

 我们可以观察一下修补程序，看看有没有打补丁，就会被黑客利用拿来主机提权，

 

 这个还可以查看指定的dll信息来查看，

 因为有可能客户不允许我们导出样本，我们就用这条命令去查询md5值，可以放在微信情报平台上面去找，下载下来去分析，

#敏感目录

 在这些敏感目录下面找一下有没有异常的文件，异常文件可能有明显特征比如python编译的，这是个程序，要警惕了。

#日志分析

 

 系统日志是记录的一些状态，

 常见的事件id

 不同的操作系统版本id是不一样的

 #登录日志

 有很多种logon type 后面数字几，就是后面表格的哪一种模式，他有很多种，重点是10。

利用永恒之蓝漏洞攻击type就显示为3。

微软开发的应用， 微软的第三方程序，调用vpi所产生的日志，一般不做分析

 Windows系统会借助第三方工具，

#应用工具-pchunter，校验工具

 利用数字签字校验功能，微软认证打上数字签字，验证的颜色是不一样，黑色的数字签名是微软的进程，已经打了数字签名但不是微软的是蓝色，非微软没有签名的模块就变成粉红色了，进程隐藏，倒挂函数都是红色的。直接右键，校验全部数字签名去看粉红色的，！

 内核这块可以看到端口，端口开发信息，外联，那个进程发起的网络连接，远程地址是上面，当前状态是链接还是监听，进程id。

 

 

 

  

 

 

案列