应急响应-Windwos-文件痕迹排查

在应急响应排查的过程中，由于大部分的恶意软件、木马、后门等都会在文件维度上留下痕迹，因此对文件痕迹的排查必不可少。一般，可以从一下几个方面对文件进行排查：

对恶意软件常用的敏感路径进行排查；在确定了应急响应事件的时间点后，对时间点前后的文件进行排查；对带有特征的恶意软件进行排查，这些特征包括代码关键字活关键函数、文件权限特征等。敏感目录在windows系统中，恶意软件常会在以下位置驻留。tmp目录在各个盘的temp（tmp）相关目录。有些恶意程序释放字体（即恶意程序运行时投放出的文件）一般会在程序中写好投放的路径，由于不同系统版本的路径有所差别，但是临时文件的路径相对统一，因此在程序中写好的路径一般是临时目录。对敏感目录进行的检查，一般是查看临时目录下是否有异常文件，图通过目录发现可以程序svchost.exe

浏览器历史记录对于一些人工入侵的应急响应事件，有时入侵者会下载一些后续攻击的工具。windwos系统重点排查浏览器的历史记录、下载文件和cookie信息，查看是否有相关的恶意痕迹。如图所示，是在排查浏览器下载文件时发现的恶意样本。

Recent文件Rencent 文件主要存储最近运行文件的快捷方式，可通过分析最近运行的文件，排查可疑文件。一般，recent文件在windows系统中的存储位置如下：C:\Documents and Settings\Administrator（系统用户名）\Recent;C:\Documents and Settings\Default User\Recent。如图所示，点击查看中的选择勾选上“”显示最近使用的文件夹“”，即可在快速访问中找到最近访问的文件了。

预读取文件夹Prefetch是预读取文件夹，用来存放系统已经访问过的文件的预读取信息，扩展名为pf。之所以自动创建Prdfetch文件夹，是为了加快系统启动的进程。Windows系统利用“预读取”技术，在实际用到设备驱动程序、服务和shell程序之前装入他们。这种优化技术也被用应用到软件上，系统对每个应用软件的前几次启动情况进行分析，然后创建一个描述应用需求的虚拟“内存映像”，并把这种信息保存到Windows\Prefetch文件夹中，一般，在windows7系统中可以记录最近128个可执行文件的信息，在windows8到windos10系统中可以记录1024个可执行文件。一旦建立了映像，之后应用软件的装入速度可大幅度提升。Pefetch文件夹的位置为“%SystemRoot%\Perfetch”。可以在【运行】对话框中输入【%SystemRoot%\Prefetch\】命令，打开Prefetch文件夹。之后排查该文件夹下的文件，如图所示，在对话框输入路径，即可转到该文件中。

另外，Amcache.hve文件也可以查询应用程序的执行路径、上传执行的时间及SHA1值。Amacache.hve文件的位置为“%SystemRoot%\appcompat\Programs\”，可以在【运行】对话框中输入【%SystemRoot%\appcompat\Programs\】命令，打开Amcache.hve所在文件夹，Amcache.hve文件如图所示。

时间点查找应急响应事件发生后，需要先确认事件发生的时间点，然后排查时间点前、后的文件变动情况，从而缩小排查的范围。forfiles命令可列出攻击日期内新增的文件，从而发现相关的恶意软件。在Windows系统中，可以在命令行中输入【forfiles】命令，查找相应文件，命令的参数情况如图所示

【forfiles】命令的使用方法如图所示。使用【forfiles /m*.exe /d+2020/2/12/s/p c:\ /"cmd /c echo @path @fdate @ftim"2>null】命令就是对2020/2/12后的exe新建文件进行搜索。在输入此命令后，找到oskjwyh28s3.exe文件forfiles /m *.exe /d +2020/2/12/s /p c:\ /c "cmd /c echo @path @fdate @ftime" 2>null

修改日期还可以根据文件列表的修改日期进行排序，查找可疑文件。当然也可以搜索指定日期范围内的文件夹及文件，如图所示。

对文件创建时间、修改时间、访问时间进行排查对文件的创建时间、修改时间、访问时间进行排查。对于人工入侵的应急响应事件，有时攻击者会为了掩饰其入侵行为，对文档的相应时间进行修改，比如规避一下排查策略。如，攻击者可能通过“菜刀类”工具改变修改时间。因此，如果文件的相关时间存在明显的逻辑问题，就需要重点排查了，极可能是恶意文件。如图所示，文件的修改时间为2015年，但创建时间为2017年，存在明显的逻辑问题，这样的文件就需要重点排查。

webshell在应急响应过程中，网站是一个关键的入侵点，对webshell（网站入侵的脚本工具）的查找可以通过上述方法进行筛选后再进一步排查。还可以使用D盾、HwsKill、WebshellKill等工具对目录下的文件进行规则查询，已检测相关的Webshell。这里以使用D盾为例，通过扫描文件，可以直接发现可疑文件，如图所示。