Windows应急响应(系统层面)

常见的应急响应事件分类：

web入侵：网页挂马、主页篡改、Webshell

系统入侵：病毒木马、勒索软件、远控后门

网络攻击：DDOS攻击、DNS劫持、ARP欺骗

---

系统入侵

进程角度出发

1. 进程相关排查

常用指令：tasklist

tasklist执行效果

为了演示方便，运行一段C写好的死循环程序模拟后门程序。

定位恶意程序

通过进程查看，发现Cpp2.exe为未知程序，查询其PID为10112

2. 恶意进程关闭

常用指令：taskkill
常用参数: /F 强制关闭 /T 结束进程以及子进程，整个进程树
切记使用管理员权限启动控制台

成功杀掉进程

3. 进程验证

未查到结果

4.Powershell扩展

可以先进行批量排查

Powershell进程排查

将查到的PID进行存储,存储到指定变量中

存储Pid

可以通过下标进行读取PID数值,这就是Powershell面向对象思想，结合C#面向对象思想编程学习来看很容易理解

提取Pids变量里内容

可以写Powershell脚本，通过循环执行kill进行达到批量查杀进程目的，为了进行演示，本次逐一进行获取查杀

进程逐一查杀

---

账户角度出发

1. 系统账户命令排查

常用指令：net user

本地系统用户初查

此命令缺陷是无法查到隐藏用户

admin$用户未查到

2. 计算机管理中排查

快捷命令 ：compmgmt.msc 或 lusrmgr.msc

查到隐藏用户

---

启动项(任务计划)角度出发

1. 系统启动项排查

位置：任务管理器 Win7及以前可尝试msconfig

启动项

2. 计划任务排查

常用命令 : at 若at失效可使用 schtasks

本机计划任务

---

网络通信角度出发

常用命令 : netstat -ano -p TCP | findstr port

135端口开放

通过查询135端口开放，可以查询到对应PID，从而跳转到进程角度进行处理

---

系统信息角度出发

常用命令 ： winver systeminfo msinfo32

winver系统内核查询

systeminfo系统补丁查询

msinfo32查询

---

敏感目录与文件

1. 敏感文件

host文件： 系统根目录\System32\drivers\etc\hosts 【防止本地DNS篡改】

2. 敏感目录

Recent：存放着你最近使用的文档的快捷方式

近期访问记录

Temp：Windows产生的临时文件
RECYCLER: 每个盘符都存在隐藏回收站文件夹，例如就曾经发生过的RECYCLER病毒

---

日志分析出发

1. 常用快捷命令 ：eventvwr.msc

查看安全日志

进行筛选

4624：登陆成功

4625：登陆失败

4672：新登录分配权限

4723：尝试修改密码

2. Powershell扩展

关键命令 Get-EventLog
关键参数 System(系统日志) Security(安全日志) Application(应用）

查看前20条数据

导出结果为html文件

html结果查看

---

后记

第一次写关于应急方面的总结，难免会出现错误，发现问题之处欢迎指出，希望能够与我沟通，便于后期订正修改。
联系方式：QQ 3300744526

---

常见工具

PCHunter
D盾
火绒剑
Log Parser
....

---

参考资料

1. 博客园：Windows入侵排查思路
2. Timeline Sec公众号 ：HW防守 | Windows应急响应基础
3. pstips.net PowerShell 在线教程