常见的应急响应事件分类:
web入侵:网页挂马、主页篡改、Webshell
系统入侵:病毒木马、勒索软件、远控后门
网络攻击:DDOS攻击、DNS劫持、ARP欺骗
系统入侵
进程角度出发
1. 进程相关排查
常用指令:tasklist
tasklist执行效果
为了演示方便,运行一段C写好的死循环程序模拟后门程序。
定位恶意程序
通过进程查看,发现Cpp2.exe为未知程序,查询其PID为10112
2. 恶意进程关闭
常用指令:taskkill
常用参数: /F 强制关闭 /T 结束进程以及子进程,整个进程树
切记使用管理员权限启动控制台
成功杀掉进程
3. 进程验证
未查到结果
4.Powershell扩展
可以先进行批量排查
Powershell进程排查
将查到的PID进行存储,存储到指定变量中
存储Pid
可以通过下标进行读取PID数值,这就是Powershell面向对象思想,结合C#面向对象思想编程学习来看很容易理解
提取Pids变量里内容
可以写Powershell脚本,通过循环执行kill进行达到批量查杀进程目的,为了进行演示,本次逐一进行获取查杀
进程逐一查杀
账户角度出发
1. 系统账户命令排查
常用指令:net user
本地系统用户初查
此命令缺陷是无法查到隐藏用户
admin$用户未查到
2. 计算机管理中排查
快捷命令 :compmgmt.msc 或 lusrmgr.msc
查到隐藏用户
启动项(任务计划)角度出发
1. 系统启动项排查
位置:任务管理器 Win7及以前可尝试msconfig
启动项
2. 计划任务排查
常用命令 : at 若at失效可使用 schtasks
本机计划任务
网络通信角度出发
常用命令 : netstat -ano -p TCP | findstr port
135端口开放
通过查询135端口开放,可以查询到对应PID,从而跳转到进程角度进行处理
系统信息角度出发
常用命令 : winver systeminfo msinfo32
winver系统内核查询
systeminfo系统补丁查询
msinfo32查询
敏感目录与文件
1. 敏感文件
host文件: 系统根目录\System32\drivers\etc\hosts 【防止本地DNS篡改】
2. 敏感目录
Recent:存放着你最近使用的文档的快捷方式
近期访问记录
Temp:Windows产生的临时文件RECYCLER: 每个盘符都存在隐藏回收站文件夹,例如就曾经发生过的RECYCLER病毒
日志分析出发
1. 常用快捷命令 :eventvwr.msc
查看安全日志
进行筛选
4624:登陆成功
4625:登陆失败
4672:新登录分配权限
4723:尝试修改密码
2. Powershell扩展
关键命令 Get-EventLog
关键参数 System(系统日志) Security(安全日志) Application(应用)
查看前20条数据
导出结果为html文件
html结果查看
后记
第一次写关于应急方面的总结,难免会出现错误,发现问题之处欢迎指出,希望能够与我沟通,便于后期订正修改。
联系方式:QQ 3300744526
常见工具
PCHunter
D盾
火绒剑
Log Parser
....
参考资料
- 博客园:Windows入侵排查思路
- Timeline Sec公众号 :HW防守 | Windows应急响应基础
- pstips.net PowerShell 在线教程
网友评论