Windows安全应急--应急排查的一些方法

news2024/11/23 16:58:23

前言:

非法BC植入网站安全应急,

在安全应急中,

总会需要大大小小的问题,

就像成长一样。


检测工具尽量使用轻量级的。。

本次演示环境 Windows Server 2008


问题排查步骤:

  1. 先判断服务器有没有被Rootkit

  2. 查看登录日志,任务计划,开机启动项

  3. 检测用户活动文件等

  4. 检查隐藏账户,注册表


NO.1 检查服务器有没有被Rootkit

这一步很重要,如果被Rootkit(相当于被提权了),那只能重装系统了。

这里推荐两款检测工具,

1. PCHunter

这款工具还是很强大的,

检测项也很多,方便判断各项有没有异常,

images


看的这基本可以判断服务器没有被Rootkit。


2. RootkitRevealer

这款工具也OK,问题就是版本有点老了,高版本服务器可能跑不起来,

images


这里也方便查看各项,


除了使用工具排查,最好再手动检测看看,

当然目前本菜还不会,/手动捂脸。


NO.2 检查登录日志,任务计划,开机启动项

1.检查有没有异常登录情况

控制面板 -> 查看事件日志 -> Windows日志 -> 安全

images


可以根据登录日志去排查入侵日期,

也可以判断攻击者是不是通过爆破口令入侵的。


2.任务计划

主要目的是检查攻击者有没有设置定时任务运行恶意程序,

很多攻击者为了躲避管理员,设置凌晨运行恶意程序,到早上再自动关闭。

管理工具 -> 任务计划程序

images


3.开机启动项

这个好像没什么好解释了,

很多安全软件能够更准确的判断出恶意启动项,

然后找出程序,干掉。

images


在任务管理器这里勾选PID,能够更快速的定位恶意进程。


NO.3 检查活动文件

1.用户桌面文件

只要攻击者创建用户,或者用administrator账号在服务器上活动,就会留下痕迹。

images


放一张之前应急的截图,

images


可以看到,heibai这个账号的遗留痕迹,

可以通过这些遗留文件获取攻击者的一些活动范围


2.下载文件

路径:
C:\Documents and Settings\cracker\桌面

用户的桌面,可能放有一些临时文件或下载的文件

images


这个文件夹一般是隐藏的,需要在文件夹选项设置显示,

通常情况下是拒绝访问的,可以参考一下这篇文章

https://jingyan.baidu.com/article/c910274bc7530acd361d2dca.html

3.用户的网络访问情况

路径:
C:\Documents and Settings\cracker\Cookies

用户的网络访问情况,cookie 文件中可能会记录一些敏感信息

跟上面一样,也是隐藏的。。


4.程序安装的临时文件

路径:
C:\Documents and Settings\cracker\Local Settings\Temp

一些程序安装、解压缩等操作可能会在该目录产生临时文件


5.最近浏览痕迹

路径:
C:\Documents and Settings\cracker\Recent

用户最近访问过哪些文件或文件夹


6.上网的历史记录

路径:
C:\Documents and Settings\cracker\Local Settings\History

用户上网的历史记录


7.临时文件

路径:
C:\Documents and Settings\cracker\Local Settings\Temporary Internet Files

上网时产生的临时文件,不但会存储网页页面内容,还可能以临时文件的方式存储 一些下载的文件


NO.4 检查隐藏账号,注册表

一些攻击者通常使用 $ 符号来创建隐藏账户,

这些账户输入 net user无法查看到,

我们可以通过 管理工具 -> 计算机管理 -> 用户

查看到这些隐藏用户。

images


关于注册表隐藏用户可以看看这里

https://www.cnblogs.com/wjvzbr/p/7906855.html

注册表也很重要,账户可以修改注册表来达到隐藏,

一些文件可以通过修改注册表达到再生,

前面说的一些安全工具都可以检查注册表,

这里推荐一个轻量级安全检查脚本,需要管理员权限运行

https://www.jb51.net/bat/498789.html

检查之后可以手工再去看看。


本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1686187.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

将联表查询到的数据按1000一批次存入数据库-模板

idea模板: /*** ${Shitilei}信息 服务层实现。** author admin*/ Service RequiredArgsConstructor public class Operate${Shitilei}Service {private final ${Shitilei}Mapper ${shitilei}Mapper;private final RegionUtil util;/*** ${shitilei}表* return 操作结…

【抽代复习笔记】18-置换练习题(2)及两个重要定理

最近一直忙于学校的事情,好久没更新了,实在抱歉。接下来几期大概也会更得慢一些,望见谅。 练习4:写出4次对称群S4中所有置换。 解:由上一篇笔记结尾的定理我们知道,4次对称群的阶(也就是所含元…

SAP-有历史业务情况下的物料批次切换前提条件和方案建议

转载自:SAP-有历史业务情况下的物料批次切换前提条件和方案建议 - 知乎 (zhihu.com) 在SAP中,物料是否启用批次管理主要是通过物料上的“批次管理”字段进行控制,但物料批次管理涉及库存很多业务节点的控制,因此一旦有业务的发生&…

超市生鲜如何持续盈利?

生鲜经营是现代超市功能配置中不可缺少的组成部分,通过生鲜区经营及其效果可以反映出超市业态发展的成熟化程度。做好了可以达到集客和盈利的目的,做得不好,也很容易成为超市中的亏损,更难指望顾客经常光顾。 超市生鲜区生存和发展…

QT creator centralwidget前面有个禁止符号

centralwidget前面有个禁止符号:表示分拆布局 在主窗口空白处,右键,选择布局即可选择不同的布局方式,表示对窗口内所有控件部件进行布局,不如垂直布局。

Android模块化项目搭建和模块之间跳转传值(2)

一、前言 这是一篇关于Android模块化的项目搭建和配置,没有看过我第一部分的同学如果不清楚整个流程的,可以回头看一下,有利于你更加快速的掌握和使用。 二、引入ARouter 模块化顾名思义就是将项目按模块的方式进行开发,加大了…

C++小病毒

C小病毒&#xff08;注&#xff1a;对电脑无过大伤害&#xff09; 短短行&#xff0c;创造奇迹&#xff01; 把这个文件命名为virus.exe就可以使用了。 #include<bits/stdc.h> #include<windows.h> using namespace std; int main() {HWND hwnd GetForegroundW…

一图看懂 | 蓝卓新材料行业解决方案

小到芯片、手机、智能手表&#xff0c;大到智能装备、新能源汽车、光伏电池板&#xff0c;新材料的运用不可缺少。作为未来产业的“基石”&#xff0c;新材料行业有力支撑了航空航天、电子信息、新能源等战略性新兴产业的发展壮大。 七大行业特点&#xff0c;五大应用场景&…

【WEEK13】 【DAY3】Shiro第三部分【中文版】

2024.5.22 Wednesday 接上文【WEEK13】 【DAY2】Shiro第二部分【中文版】 目录 15.4.登录拦截15.4.1.修改ShiroConfig.java15.4.2.新建login.html页面15.4.3.修改MyController.java15.4.4.再次修改ShiroConfig.java15.4.5.重启 15.5.用户认证15.5.1.修改MyController.java15.5.…

【css】引入背景图时候,路径写入@会报错

看报错信息 我的写法 解决办法 在前面加个~

个体因果效应估计|EDVAE:用于个体治疗效果估计的反事实推理中的解开潜在因素模型

【摘要】根据观察数据估计个体治疗效果&#xff08;ITE&#xff09;是一项至关重要但具有挑战性的任务。解缠结表示已用于将代理变量分为混杂变量、工具变量和调整变量。然而&#xff0c;根据观测数据准确地进行反事实推理来识别 ITE 仍然是一个悬而未决的问题。在本文中&#…

6. Spring面试题汇总

Java全栈面试题汇总目录-CSDN博客 1. 什么是Spring框架? Spring是一种轻量级开发框架&#xff0c;旨在提高开发人员的开发效率以及系统的可维护性。 我们一般说Spring框架指的都是Spring Framework&#xff0c;它是很多模块的集合&#xff0c;使用这些模块可以很方便地协助…

每周打靶VulnHub靶机-LOOZ_ 1

Looz: 1 靶机传送门 Not that hard and not that easy, it’s always straightforward if you can imagine it inside your mind. 没有那么难也没有那么容易&#xff0c;只要你能在脑海中想象出来&#xff0c;它总是很简单的 1.信息搜集 使用nmap进行域内存活主机扫描发现targ…

A10 vThunder镜像-eveng pnetlab镜像下载

A10 vThunder 是由 A10 Networks 发布的。A10 Networks 是一家专注于应用交付控制器&#xff08;ADC&#xff09;、负载均衡、安全和基于云的应用交付解决方案的公司。A10 vThunder 系列产品包括虚拟应用交付控制器&#xff08;ADC&#xff09;和其他虚拟化网络功能&#xff0c…

html 段落与排版标记 Web前端开发技术、详细文章(例如)

段落与排版标记 网页的外观是否美观&#xff0c;很大程度上取决于其排版。在页面中出现大段的文字&#xff0c;通常采用分段进行规划&#xff0c;对换行也有极其严格的划分。本节从段落的细节设置入手&#xff0c;利用段落与排版标记自如地处理大段的文字。 段落p标记 在HTM…

展厅设计对企业有哪些作用

1、增强品牌形象 企业展厅对于增强企业品牌形象、提升企业的知名度和市场竞争力具有显著作用和意义。展厅作为企业对外的窗口&#xff0c;是客户和访客了解企业的第一印象。通过独特的设计风格和精心的展示布局&#xff0c;企业可以将自身的核心价值和文化理念巧妙地融入到展厅…

ip地址怎么改成自己想要的地区

在数字化时代&#xff0c;IP地址不仅代表着我们在网络世界中的身份标识&#xff0c;更是与地理位置紧密相连的要素。然而&#xff0c;有时出于隐私保护、网络优化或特定访问需求&#xff0c;我们可能希望更改IP地址至心仪的地区。本文将为您详细介绍如何实现这一目标。 IP地址通…

Mac安装 Intellij IDEA,亲测有效M1、M2可用

引言 最近开始学习使用spring boot写一个简单的后端项目&#xff0c;使用Intellij IDEA软件&#xff0c;Intellij IDEA为新用户提供了30天的免费试用。 方案 1.官网下载Intellij IDEA IntelliJ IDEA – the Leading Java and Kotlin IDE 或者直接网盘连接下载&#xff1a;…

轻松驾驭文件重命名,一键批量导出位置与名称至表格,让文件管理更高效便捷!

无论是工作还是生活&#xff0c;我们都需要与各种各样的文件打交道。有时&#xff0c;为了快速查找或整理文件&#xff0c;我们可能需要记录它们的位置和名称。但面对海量的文件&#xff0c;手动记录不仅耗时耗力&#xff0c;还容易出错。那么&#xff0c;有没有一种方法能够轻…

ES6中的Map和WeakMap你能分清吗?这里教会你

Map和WeakMap都是ES6中新增的数据结构&#xff0c;用于存储键值对。他们之间有什么区别&#xff0c;本文给大家详细讲述下&#xff0c;并附上示例代码。 一、什么是Map和WeakMap&#xff1f; 在JavaScript中&#xff0c;Map和WeakMap都是用来存储键值对的数据结构。 Map是一…