Windows 应急响应小结
Windows应急
💡 关注攻击者的入侵过程逻辑过程。
确定现象—>关键时间->定位程序->分析进程->还原攻击过程
Windows可以使用更多的界面化工具,注意使用。
用户检查
- net user 命令检查,但无法查看隐藏用户
- net user localgroup administrators 查看管理员组的用户,但还是无法查看隐藏用户
- 查看用户目录
- 查看注册表 HKLM_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users(SAM为控则需要附加权限才能查看)
- 工具:PCHunter、D盾查杀-工具-隐藏用户
计划任务
- Win2003及其之前 C:\Windows\tasks\XXX.job(默认为空)
- win2008及其之后:C:\Windows\System32\Tasks\xxx.xml(默认包含大量系统任务
- at /schtasks.exe (2003-2008)或者 schtasks.exe
- 控制面板→计划任务
- 工具:Autoruns
进程检查
- 查看外联情况,定位可以进程 netstat -ano
- 定位可以进程位置 tasklist | findstr pid
- 根据进程名定位文件位置 wmic process | findstr %name%
- 结束进程 taskkill /f /im %name% 或者 taskkill /pid %pid% 2604 -t -f
- 查看dns记录 ipconfig /displaydns
- 工具:
- PCHunter,无厂商签名(黑色:微软签名,蓝色:非微软签名,红色,可疑对象)、无描述信息、路径可疑、资源占用高的进程。根据可以的程序名谷歌查询,或者复制可以程序检测病毒。
- ProcessExplorer:View → Lower Pane View → DLLs,查看dll
启动项检查
- 开始-运行-msconfig 或者 任务管理器-启动
- Run健值利用:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\Run
- HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows \CurrentVersion\Run
- RunOnce键值利用:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
- HKEY_CURENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
- Load键值利用
- HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
- Logon Script键值利用
- HKCR\environment\UserIntitMprLogonScript
- Userinit键值利用
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
- HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
- 开始菜单利用
- 2003:C:\Documents and Settings\Administrator\Start Menu\Programs\startup
- 2003:C: \Documents and Settings\All Users\start Menu\Programs\Startup
- 2008:C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
- 2008:C: \ProgramData\Microsoft\Windows\start Menu\Programs\Startup
- gpedit利用
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy\scripts\Logon
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy\scripts\Logoff
- 工具:Autoruns
- Logon:用户登录 Windows 时加载的启动项目
- Explorer:加载到 Windows Explorer 的一些条目
- Internet Explorer:挂载到随 IE 启动的一些条目
- Scheduled Tasks:任务计划中的启动条目
- Services:服务启动项
- Office:随 Microsoft Office 启动条目
- Option设置:Hide Microsoft Entries/Hide Windows Entries
- 颜色:粉红表示无数字签名,黄色表示对应启动项的文件不存在,绿色表示不同时间和状态下 Windows 启动条目进行对比,对比出来的差异将以绿色高亮进行显示
服务检查
- Autoruns查看Services,关注红色和黄色
日志检查
- 【开始】➜【运行】➜【eventvwr】
- 日志添加用户事件ID:4728、4720、4722、4738、4724、4732
- 删除用户会产生事件ID:4733、4729、4726
- 查找内容:“源网络地址”等
- 日志导出为文本格式,正则提取IP:[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}
- web日志检查:
从木马文件等入手获取创建时间后再去锁定时间和文件范围
结合web站点的结构和组件分析(或者想象成自己对该站点进行渗透,入侵者可能思路相同)
Shift劫持
HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NV\CurrentVersion\Image File Execution Options\sethc.exe
查杀工具
评论