Windows应急响应小结


Windows应急

💡 关注攻击者的入侵过程逻辑过程。
确定现象—>关键时间->定位程序->分析进程->还原攻击过程

Windows可以使用更多的界面化工具,注意使用。

用户检查

  • [ ] net user 命令检查,但无法查看隐藏用户
  • [ ] net user localgroup administrators 查看管理员组的用户,但还是无法查看隐藏用户
  • [ ] 查看用户目录
  • [ ] 查看注册表 HKLM_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users(SAM为控则需要附加权限才能查看)
  • [ ] 工具:PCHunter、D盾查杀-工具-隐藏用户

计划任务

  • [ ] Win2003及其之前 C:\Windows\tasks\XXX.job(默认为空)
  • [ ] win2008及其之后:C:\Windows\System32\Tasks\xxx.xml(默认包含大量系统任务
  • [ ] at /schtasks.exe (2003-2008)或者 schtasks.exe
  • [ ] 控制面板→计划任务
  • [ ] 工具:Autoruns

进程检查

  • [ ] 查看外联情况,定位可以进程 netstat -ano
  • [ ] 定位可以进程位置 tasklist | findstr pid
  • [ ] 根据进程名定位文件位置 wmic process | findstr %name%
  • [ ] 结束进程 taskkill /f /im %name% 或者 taskkill /pid %pid% 2604 -t -f
  • [ ] 查看dns记录 ipconfig /displaydns
  • [ ] 工具:
    • PCHunter,无厂商签名(黑色:微软签名,蓝色:非微软签名,红色,可疑对象)、无描述信息、路径可疑、资源占用高的进程。根据可以的程序名谷歌查询,或者复制可以程序检测病毒。
    • ProcessExplorer:View → Lower Pane View → DLLs,查看dll

启动项检查

  • [ ] 开始-运行-msconfig 或者 任务管理器-启动
  • [ ] Run健值利用:
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\Run
    • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows \CurrentVersion\Run
  • [ ] RunOnce键值利用:
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
    • HKEY_CURENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
  • [ ] Load键值利用
    • HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
  • [ ] Logon Script键值利用
    • HKCR\environment\UserIntitMprLogonScript
  • [ ] Userinit键值利用
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
    • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
  • [ ] 开始菜单利用
    • 2003:C:\Documents and Settings\Administrator\Start Menu\Programs\startup
    • 2003:C: \Documents and Settings\All Users\start Menu\Programs\Startup
    • 2008:C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
    • 2008:C: \ProgramData\Microsoft\Windows\start Menu\Programs\Startup
  • [ ] gpedit利用
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy\scripts\Logon
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy\scripts\Logoff
  • [ ] 工具:Autoruns
    • Logon:用户登录 Windows 时加载的启动项目
    • Explorer:加载到 Windows Explorer 的一些条目
    • Internet Explorer:挂载到随 IE 启动的一些条目
    • Scheduled Tasks:任务计划中的启动条目
    • Services:服务启动项
    • Office:随 Microsoft Office 启动条目
    • Option设置:Hide Microsoft Entries/Hide Windows Entries
    • 颜色:粉红表示无数字签名,黄色表示对应启动项的文件不存在,绿色表示不同时间和状态下 Windows 启动条目进行对比,对比出来的差异将以绿色高亮进行显示

服务检查

  • [ ] Autoruns查看Services,关注红色和黄色

日志检查

  • [ ] 【开始】➜【运行】➜【eventvwr】
    • 日志添加用户事件ID:4728、4720、4722、4738、4724、4732
    • 删除用户会产生事件ID:4733、4729、4726
    • 查找内容:“源网络地址”等
  • [ ] 日志导出为文本格式,正则提取IP:[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}
  • [ ] web日志检查:

    • 从木马文件等入手获取创建时间后再去锁定时间和文件范围

    • 结合web站点的结构和组件分析(或者想象成自己对该站点进行渗透,入侵者可能思路相同)

Shift劫持

HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NV\CurrentVersion\Image File Execution Options\sethc.exe

查杀工具