Windows应急响应(系统层面)

常见的应急响应事件分类:

web入侵:网页挂马、主页篡改、Webshell

系统入侵:病毒木马、勒索软件、远控后门

网络攻击:DDOS攻击、DNS劫持、ARP欺骗


系统入侵

进程角度出发

1. 进程相关排查

常用指令:tasklist


tasklist执行效果

为了演示方便,运行一段C写好的死循环程序模拟后门程序。


定位恶意程序

通过进程查看,发现Cpp2.exe为未知程序,查询其PID为10112
2. 恶意进程关闭

常用指令:taskkill
常用参数: /F 强制关闭 /T 结束进程以及子进程,整个进程树
切记使用管理员权限启动控制台

成功杀掉进程

3. 进程验证
未查到结果
4.Powershell扩展

可以先进行批量排查

Powershell进程排查

将查到的PID进行存储,存储到指定变量中
存储Pid

可以通过下标进行读取PID数值,这就是Powershell面向对象思想,结合C#面向对象思想编程学习来看很容易理解
提取Pids变量里内容

可以写Powershell脚本,通过循环执行kill进行达到批量查杀进程目的,为了进行演示,本次逐一进行获取查杀
进程逐一查杀


账户角度出发

1. 系统账户命令排查

常用指令:net user


本地系统用户初查

此命令缺陷是无法查到隐藏用户


admin$用户未查到
2. 计算机管理中排查

快捷命令 :compmgmt.msc 或 lusrmgr.msc


查到隐藏用户

启动项(任务计划)角度出发

1. 系统启动项排查

位置:任务管理器 Win7及以前可尝试msconfig


启动项
2. 计划任务排查

常用命令 : at 若at失效可使用 schtasks


本机计划任务

网络通信角度出发

常用命令 : netstat -ano -p TCP | findstr port


135端口开放

通过查询135端口开放,可以查询到对应PID,从而跳转到进程角度进行处理


系统信息角度出发

常用命令 : winver systeminfo msinfo32


winver系统内核查询

systeminfo系统补丁查询

msinfo32查询

敏感目录与文件

1. 敏感文件

host文件: 系统根目录\System32\drivers\etc\hosts 【防止本地DNS篡改】

2. 敏感目录

Recent:存放着你最近使用的文档的快捷方式

近期访问记录

Temp:Windows产生的临时文件
RECYCLER: 每个盘符都存在隐藏回收站文件夹,例如就曾经发生过的RECYCLER病毒


日志分析出发

1. 常用快捷命令 :eventvwr.msc
查看安全日志

进行筛选

4624:登陆成功



4625:登陆失败

4672:新登录分配权限



4723:尝试修改密码
2. Powershell扩展

关键命令 Get-EventLog
关键参数 System(系统日志) Security(安全日志) Application(应用)


查看前20条数据

导出结果为html文件

html结果查看

后记

第一次写关于应急方面的总结,难免会出现错误,发现问题之处欢迎指出,希望能够与我沟通,便于后期订正修改。
联系方式:QQ 3300744526


常见工具

PCHunter
D盾
火绒剑
Log Parser
....


参考资料

  1. 博客园:Windows入侵排查思路
  2. Timeline Sec公众号 :HW防守 | Windows应急响应基础
  3. pstips.net PowerShell 在线教程

你可能感兴趣的:(Windows应急响应(系统层面))