奇安信应急响应-Windows

处置思路方法和Linux是一致的,

系统命令,

有一些整蛊的就会锁定你,不让你用鼠标点击,就通过命令其打开就好奇安信应急响应-Windows_第1张图片

 奇安信应急响应-Windows_第2张图片

 findstr命令跟linux一样查找关键字,图中就是hello关键字,然后.txt的文件,

奇安信应急响应-Windows_第3张图片

 奇安信应急响应-Windows_第4张图片

 我们可以观察一下修补程序,看看有没有打补丁,就会被黑客利用拿来主机提权,

奇安信应急响应-Windows_第5张图片

 奇安信应急响应-Windows_第6张图片

 这个还可以查看指定的dll信息来查看,奇安信应急响应-Windows_第7张图片

 因为有可能客户不允许我们导出样本,我们就用这条命令去查询md5值,可以放在微信情报平台上面去找,下载下来去分析,

#敏感目录奇安信应急响应-Windows_第8张图片

 在这些敏感目录下面找一下有没有异常的文件,异常文件可能有明显特征比如python编译的,这是个程序,要警惕了。

#日志分析

奇安信应急响应-Windows_第9张图片

 奇安信应急响应-Windows_第10张图片

 系统日志是记录的一些状态,奇安信应急响应-Windows_第11张图片

 常见的事件id奇安信应急响应-Windows_第12张图片

 不同的操作系统版本id是不一样的奇安信应急响应-Windows_第13张图片

 #登录日志奇安信应急响应-Windows_第14张图片

 有很多种logon type 后面数字几,就是后面表格的哪一种模式,他有很多种,重点是10。

利用永恒之蓝漏洞攻击type就显示为3。

奇安信应急响应-Windows_第15张图片

微软开发的应用, 微软的第三方程序,调用vpi所产生的日志,一般不做分析

奇安信应急响应-Windows_第16张图片

 Windows系统会借助第三方工具,

#应用工具-pchunter,校验工具

奇安信应急响应-Windows_第17张图片

 利用数字签字校验功能,微软认证打上数字签字,验证的颜色是不一样,黑色的数字签名是微软的进程,已经打了数字签名但不是微软的是蓝色,非微软没有签名的模块就变成粉红色了,进程隐藏,倒挂函数都是红色的。直接右键,校验全部数字签名去看粉红色的,!

奇安信应急响应-Windows_第18张图片

 内核这块可以看到端口,端口开发信息,外联,那个进程发起的网络连接,远程地址是上面,当前状态是链接还是监听,进程id。奇安信应急响应-Windows_第19张图片

 奇安信应急响应-Windows_第20张图片

 奇安信应急响应-Windows_第21张图片

奇安信应急响应-Windows_第22张图片

奇安信应急响应-Windows_第23张图片

 奇安信应急响应-Windows_第24张图片

 奇安信应急响应-Windows_第25张图片 

 奇安信应急响应-Windows_第26张图片

 奇安信应急响应-Windows_第27张图片

案列

奇安信应急响应-Windows_第28张图片 奇安信应急响应-Windows_第29张图片

 奇安信应急响应-Windows_第30张图片

 奇安信应急响应-Windows_第31张图片

奇安信应急响应-Windows_第32张图片 

奇安信应急响应-Windows_第33张图片 

奇安信应急响应-Windows_第34张图片 

 奇安信应急响应-Windows_第35张图片

奇安信应急响应-Windows_第36张图片 

奇安信应急响应-Windows_第37张图片 

奇安信应急响应-Windows_第38张图片 

奇安信应急响应-Windows_第39张图片 

奇安信应急响应-Windows_第40张图片 

 

 

你可能感兴趣的:(安全)