windows入侵取证

转载  by nkever

1.记录当前时间

dos命令:dat /t & time /t


2.记录登录的用户session

dos 命令:net sessions

工具:Psloggedon.exe   Logonsessions.exe


3.记录打开的文件

dos 命令:net file

工具:psfile.exe  open?les.exe

其它:查看文件打开历史记录


4.网络信息(netbios cache)

dos命令:nbtstat -c

              nbtstat -A remoteip


5.网络当前连接状态

dos命令:netstat -ano


6.当前进程状态

工具:进程管理器    tlist.exe(tlist -m xxx.dll)  tasklist.exe pslist.exe  listdll.exe  processhacker.exe  processexplorer.exe

关注点:进程内存模块  ,进程端口映射


7.网络

dos命令:ipconfig /all


8.剪贴板内容

找个word,直接粘贴

工具:Win32::Clipboard()->Get()


7.服务和驱动信息

工具:svc.exe

关注点:服务的异常,异常的驱动


8.dos命令历史记录

工具:doskey.exe  (doskey /history)


9.驱动器映射

工具:di.exe


10.共享

关注点:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\lanmanserver\S

hares

net share


11.自动运行

启动文件夹

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLL

HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\SetupHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Setup

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Classes\Exe?le\Shell\Open\command

特殊情况:服务劫持,异常服务,pe注入,DLL动持等等,部分内存木马启动后删除自启动,需用到内存分析。

查看扩展劫持:ftype.exe  exefile

工具:autorun.exe


12.系统日志

工具:psloglist.exe  dumpevt.exe


13.浏览器历史记录,和浏览器配置(如自动完成功能被打开,代理等)


14.文件创建

利用windows搜索入侵期间的文件创建。


15.进程内存DUMP和DUMP文件分析

lspm.pl+bintext3.0

建议直接用processhacker.exe


16.注册表分析点

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution

Options

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\USBSTOR

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClasses

HKEY_LOCAL_MACHINE\System\MountedDevices

Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

\Software\Microsoft\Internet Explorer\TypedURLs

\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU

Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts

Software\Microsoft\Search Assistant\ACMru

Software\Microsoft\Windows\CurrentVersion\Explorer\Map Network Drive MRU

Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

Software\Microsoft\Windows\CurrentVersion\Explorer\ComputerDescription

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\

SystemRestore


16.系统安全日志

工具:Vista Event Viewer   

HKEY_LOCAL_MACHINE\System\ControlSet00x\Services\EventLog\

dos命令:wevtutil el(查看记录的日志 wevtutil gl logname)



17.IISLOG 或 ApacheLog

iislog:W3SVCn,

apachelog:http.conf中定义(LOGS目录)


18.软件安装日志

Setuplog.txt   Setupact.log    SetupAPI.log  Netsetup.log


19.计划任务日志

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent


20.XP Firewall Logs


21.华生医生日志

C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DrWatson


22.crash dump 文件

dump文件+BinText.exe


23.回收站


24.PE分析

bintext.exe 打开

PELOAD/PEVIEW 分析(关注,IAT表)

PEID 查壳

检查PE是否被BIND


其它:虚拟机动态调试(OD)

       Dumpbin查看API调用等


25.rootkit

工具:icesword.exe  Helios  


26.hostfile是否被改

driver/etc/hosts


你可能感兴趣的:(windows,取证)