Windows应急响应排查思路

news2024/11/22 6:22:10

「作者简介」:CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者
「推荐专栏」:对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》

在这里插入图片描述

Windows应急响应

  • 一、用户分析
    • 1、普通用户
    • 2、隐藏用户
    • 3、克隆账户
  • 二、日志分析
    • 1、Windows系统日志
    • 2、Web日志
  • 三、网络分析
  • 四、进程服务
  • 五、启动项
  • 六、计划任务
  • 七、敏感文件目录
  • 评论送书

一、用户分析

攻击者通常会在服务器中创建用户进行维权,查看是否有新增的可疑账号,核实后禁用或删除。

1、普通用户

1)cmd中,输入 net user ,查看系统中创建的用户。

2)【控制面板】-【用户账户】-【用户账户】-【管理用户账户】中,可以看到系统中有哪些用户。

3)net user administrator,可以查看指定用户的信息,比如上次登录时间。

4)net localgroup administrators 查看本地管理员组

2、隐藏用户

隐藏用户(username$)不能在 net user 和控制面板中看到。

1)WIN + R,输入 lusrmgr.msc ,打开本地用户和组,可以看到系统中的所有用户,包括隐藏用户。

2)WIN + R,输入 regedit ,打开注册表,找到\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names

这个路径,可以看到系统中的所有用户,包括隐藏用户。

3、克隆账户

克隆账户通过修改注册表中的F值,使隐藏用户在不加入管理员组的情况下拥有管理员权限。

可以到注册表\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names中,查看是否有隐藏用户(username$),如果有,就看这个用户对应的F值和administrator对应的F值是否相同,如果相同,就是克隆账号。

在这里插入图片描述


二、日志分析

日志可以高效的帮助我们分析、溯源攻击事件。

1、Windows系统日志

1)WIN + R,输入 eventvwr,打开事件查看器。

在这里插入图片描述
2)右键系统或安全日志 - 【筛选当前日志】,根据事件ID(Event id)筛选日志,快速定位入侵事件。

在这里插入图片描述

系统日志:记录系统组件的事件,比如驱动程序信息、应用程序崩溃信息等数据丢失的情况。

  • 12 系统启动
  • 13 系统关闭
  • 6005 事件日志服务已启动
  • 6006 事件日志服务已停止

安全日志:记录系统安全相关的事件,比如用户登入登出、资源使用、策略更改等。

  • 1102 清理审计日志
  • 4624 账号登录成功
  • 4625 账号登录失败
  • 4768 Kerberos身份验证
  • 4769 Kerberos服务票证请求
  • 4776 NTLM身份验证
  • 4672 赋予特殊权限
  • 4720 创建用户
  • 4726 删除用户
  • 4728 将成员添加到启用安全的全局组中
  • 4729 将成员从安全的全局组中删除
  • 4732 将成员添加到启用安全的本地组中
  • 4733 将成员从启动安全的本地组中删除
  • 4756 将成员添加到启用安全的通用组中
  • 4757 将成员从启用安全的通用组中删除
  • 4719 系统审计策略修改

应用程序日志:记录应用程序产生的事件,包括微软开发的应用程序和第三方开发的基于系统的应用程序。

2、Web日志

从Web应用日志中,可以分析攻击者在什么时间、使用哪个IP,访问了哪个网站,反推出攻击路径。

1)IIS日志通常存放在%systemroot%\system32\logfiles\W3SVC1\目录。

2)Apache日志存放在<Apache安装路径>/apache/logs/ 目录,access.log/error.log。

3)Tomcat日志存放在<Tomcat安装路径>/logs 目录

4)WebLogic 8.x版本:WebLogic安装路径\user_projects\domains\
WebLogic 9及以后版本:WebLogic安装路径\user_projects\domains\\servers\\logs\

5)Jboss日志存放在<Jboss安装路径>/server/default/log/

6)Nginx日志默认存放在/usr/local/nginx/logs,access.log/error.log。

三、网络分析

netstat -ano 查看网络连接,LISTENING表示监听状态。

在这里插入图片描述

netstat -ano | findstr "443" 查看指定端口的连接状态。

四、进程服务

1)tasklist 命令查看计算机上的进程。

在这里插入图片描述

tasklist /v 显示详细信息(所有字段)
tasklist /svc 显示进程和服务的对应关系
tasklist /m 显示加载的DLL文件
tasklist /m ntdll.dll 查看指定dll的调用情况

2)wmic process命令也可以查看进程,比tasklist更加详细

根据应用程序找PID:
wmic process where name=“cmd.exe” get processid,executablepath,name

根据PID找应用程序:
wmic process where processid=“12188” get processid,executablepath,name

3)WIN +R,输入services.msc,打开服务工具,查看自启动的服务。

在这里插入图片描述

4)net start 查看当前运行的服务

5) net use 查看远程连接

五、启动项

为了防止被控机器失联,很多恶意程序会把自己添加到系统启动项中,在开机时自动运行。

1)WIN + R,输入msconfig,查看启动项中是否有异常的启动项目,有则禁用。

WIN10移动到任务管理器里面了。

在这里插入图片描述

2)WIN + R,输入gpedit.msc,打开本地组策略编辑器,检查是否有异常的启动脚本。

在这里插入图片描述

3)WIN + R,输入regedit,打开注册表,重点看下面这三个地方(第一个是用户设置的启动项,后两个是系统设置的启动项)。
\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run

4)WIN + R,输入msinfo32,打开系统信息工具,检查是否有异常的启动程序。

在这里插入图片描述

5)左下角【开始】-【所有程序】-【启动】,打开是一个目录,检查里面有没有异常启动项。

六、计划任务

很多恶意程序会把自己添加到计划任务中,在固定时间启动。

1)WIN + R,输入taskschd.msc,打开任务计划程序,检查是否有异常的计划任务。

在这里插入图片描述

2)打开cmd,输入schtasks,默认展示所有的计划任务(和tasksched同步)。

在这里插入图片描述

七、敏感文件目录

Windows系统有很多敏感目录,可以帮助我们寻找攻击路径。

1)WIN + R ,输入 %UserProfile%\Recent,打开Recent目录,这里记录了最近打开的文件。

在这里插入图片描述

2)WIN + R ,输入 %temp%,打开Windows的临时目录,里面的文件默认拥有当前登录用户的读写权限,常被用来提权,重点检查exe、dll、sys文件,或者特别大的文件。

在这里插入图片描述

将可疑文件上传到沙箱或情报中心分析,比如:

  • 奇安信威胁情报中心:https://ti.qianxin.com/
  • VT文件分析平台:https://www.virustotal.com/gui/home/upload

3)WIN + R ,输入 %systemroot%\Prefetch,打开预读取文件夹,这里会缓存访问过的文件,以便下次访问时可以更快的加载。

在这里插入图片描述

4)查看浏览器的浏览记录、下载记录、Cookie信息进行协助分析。

5)使用相关工具查杀可疑文件。

服务器通常会安装杀毒软件,全盘扫描即可,如果没装就装一个。

杀毒软件一般不会做驱动对抗,如果怀疑是驱动类型的病毒,需要用专杀工具(奇安信顽固病毒专杀工具、360急救箱等)。

6)certutil -hashfile shell.php MD5 计算样本MD5

%WINDIR%

%WINDIR%\SYSTEM32

%localappdata%

%appdata%

评论送书

评论区留言即可参与抽奖,包邮送书《从零开始读懂Web3》。

在这里插入图片描述

立体拆解Web3,历史、技术、应用、趋势全掌握;小白入局Web3,了解工作、学习、创业新范式;Web3重构世界,不止于科技,更是一种思潮。所有这一切,都在重构我们的工作与生活,让我们从零开始,一起走进新一代互联网的世界。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/439604.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

基于互相关性的信号同步

许多测量涉及多个传感器异步采集的数据。如果您要集成信号并以关联式研究它们&#xff0c;您必须同步它们。为此&#xff0c;请使用 xcorr。 例如&#xff0c;假设有一辆汽车经过一座桥。它产生的振动由位于不同位置的三个相同传感器进行测量。信号有不同到达时间。 将三个时…

【技术分享】Livedata粘性事件实现源码解析,让你彻底掌握数据更新机制

概述 Livedata粘性事件是Android中常用的一种观察者模式&#xff0c;它可以让数据在发生改变时通知观察者并更新UI。在实际开发中&#xff0c;我们可能会遇到粘性事件的情况&#xff0c;即先发送了一个数据&#xff0c;后来才有观察者来监听&#xff0c;这时候我们需要保证观察…

集合Map高频面试题

1、介绍下 HashMap 的底层数据结构吧。 在 JDK 1.8&#xff0c;HashMap 底层是由 “数组链表红黑树” 组成&#xff0c;如下图所示&#xff0c;而在 JDK 1.8 之前是由 “数组链表” 组成&#xff0c;就是下图去掉红黑树。 2、为什么使用“数组链表”&#xff1f; 使用 “数组…

如何用 ModelScope 实现 “AI 换脸” 视频

前言 当下&#xff0c;视频内容火爆&#xff0c;带有争议性或反差大的换脸视频总能吸引人视线。虽然 AI 换脸在市面上已经流行了许久&#xff0c;相关制作工具或移动应用也是数不胜数。但是多数制作工具多数情况下不是会员就是收费&#xff0c;而且替换模板有限。以下在实战的角…

三电技术之电机电驱技术

三电技术之电机电驱技术 1 基本功能 电动汽车驱动电机及其控制系统是电动汽车的心脏&#xff0c;是把电能转化为机械能来驱动车辆的部件。它的任务是在驾驶人的控制下&#xff0c;高效率地将动力电池的能量转化为车轮的动能&#xff0c;或者将车轮上的动能反馈到动力电池中。 …

16 个优秀的 Vue 开源项目

为什么我们要关注Vue Vue是一个用于构建用户界面的JavaScript框架。值得关注的是&#xff0c;它在没有谷歌和Facebook的支持下获得了大量的人气。 Vue是结合react和angular的最好的方法&#xff0c;并且拥有一个有凝聚力的&#xff0c;活跃的&#xff0c;能够应对开发问题的大型…

消息队列如何保证消息的幂等性

前些天发现了一个巨牛的人工智能学习网站&#xff0c;通俗易懂&#xff0c;风趣幽默&#xff0c;忍不住分享一下给大家。点击跳转到网站。 文章目录 什么是幂等性什么是消息的幂等性为什么会出现消息幂等性问题该如何解决消息幂等性问题总结 在分布式系统中&#xff0c;消息队列…

【C++入门必备知识:命名空间与关键字】

【C入门必备知识&#xff1a;命名空间与关键字】 【命名空间】①.命名空间定义Ⅰ.正常定义命名空间Ⅱ.嵌套定义命名空间Ⅲ.合并命名空间 ②.命名空间的使用Ⅰ.命名空间名称及域作用限定符Ⅱ.using成员引入Ⅲ.using namespace名称全部引入 ③.注意事项 【C关键字(C98)】 【命名空…

Ubuntu系统安装docker、docker-compse

环境&#xff1a;Ubuntu 20.04.4 LTS (GNU/Linux 5.4.0-100-generic x86_64) 一、安装docker 1.卸载旧版本 ubuntu下自带了docker的库&#xff0c;不需要添加新的源。 但是ubuntu自带的docker版本太低&#xff0c;需要先卸载旧的再安装新的 sudo apt-get remove docker docke…

免费的语音转文字软件有哪些?推荐一款好用的

随着人工智能技术的不断发展&#xff0c;语音识别技术已经得到了广泛的应用。语音转文字软件是其中的一种应用&#xff0c;它能够将人们说出的话语自动转化为文字&#xff0c;从而方便人们进行文本处理、记录、存档等操作。在现实生活中&#xff0c;有很多人需要使用语音转文字…

Redis的哈希表是如何扩容的?

文章目录 一般面试回答哈希表结构字典数据结构解决哈希冲突扩容/缩容对字典的哈希表rehash步骤 渐进式rehash渐进式rehash步骤 相关问题 一般面试回答 redis 解决冲突的方法是使用链地址法&#xff0c;另外当容量不足的时候&#xff0c;则使用Rehash 进行扩容。 Rehash&#x…

96-Linux_UDP实现客户端和服务器端

UDP实现客户端和服务器端 一.udp实现客户端和服务器端的编程流程二.udp实现实现客户端和服务器端所用的接口1.socket2.sendto3.recvfrom 三.udp服务器端代码和客户端的代码1.服务器端2.客户端 一.udp实现客户端和服务器端的编程流程 udp提供无链接的,不可靠的,数据报服务; 二…

burp suite 插件编写-基础

文章目录 前言一、插件的官方文档二、Montoya API jar包结构三、HTTP 处理程序小结 四、代码示例 前言 burp插件入门。入门&#xff0c;我们大概有一个框架&#xff0c;心里不再有怎么做&#xff0c;为什么可以这么做的疑问。现在就要更具体的来回答“怎么做”这个问题。我们通…

基于C#编程建立泛型Vector数据类型及对应处理方法

目录 一、简介 二、方法 2.1 建立Vector类 2.2 Vector成员 2.3 Vector属性 2.4 Vector方法 2.4.1 构造函数 2.4.2 Vector元素操作方法 2.4.3 Vector 运算 三、调用方法 3.1 方法 3.1.1 Append 3.1.2 this[] 3.1.3 Insert 3.1.4 DelLen 3.1.5 FindNumber 3.1.6 …

PHP快速入门04-前后端数据交互与文件上传

文章目录 前言前后端数据交互与文件上传前后端数据交互 $_GET $_POST文件上传 总结 前言 本文已收录于PHP全栈系列专栏&#xff1a;PHP快速入门与实战 前后端数据交互与文件上传 前后端数据交互 $_GET $_POST 他们都是超全局变量。它们用于从HTTP请求中获取数据&#xff0…

除了学历,你更需要有能力

遥想当年&#xff0c;家里培养出一个大学生&#xff0c;是多荣耀的事&#xff01;可现今却处于一个比较尴尬的状态。 为什么大学生贬值得这么厉害&#xff1f;其实大学生之所以会不值钱不外乎三大原因&#xff1a;量大、与企业需求不匹配、质量差。 高校扩招下&#xff0c;大…

OpenAI最新官方ChatGPT聊天插件接口《接入插件快速开始》全网最详细中英文实用指南和教程,助你零基础快速轻松掌握全新技术(二)(附源码)

Getting started 快速开始 前言Introduction 导言Plugin manifest 插件清单OpenAPI definition OpenAPI定义Running a plugin 运行插件Setup a local proxy of your public API 设置公共API的本地代理 Writing descriptions 书写描述Best practices Debugging 排除故障其它资料…

【Android】popup windows 的使用方式 和 遇到不显示的坑

背景 在项目开发过程中有一个需求就是点击一个问号icon 弹出相关提示信息在下面&#xff0c;那么就得对这个做适配了。 计划采用popupWindow 实现&#xff1a; 参考 实现 基本的套路就是写一个xml对应的布局&#xff0c;然后在java 层使用即可。 特别注意的是该xml布局要慎…

ubuntu输入法问题汇总

Xfce4桌面环境输入法 Ubuntu20.04、ubuntu21.04中安装xfce4桌面环境&#xff0c;自带中文输入法&#xff1b; 原生xubuntu20.04中文输入法问题解决办法&#xff1a; 更新语言支持失败的话&#xff0c;终端键入&#xff1a;sudo apt-get install cmake qt5-default qtcreator…

网络安全——传输层安全协议(3)

作者简介&#xff1a;一名云计算网络运维人员、每天分享网络与运维的技术与干货。 座右铭&#xff1a;低头赶路&#xff0c;敬事如仪 个人主页&#xff1a;网络豆的主页​​​​​​ 目录 前言 一.SSL密钥更改协议 二.SSL告警协议 关闭报警 错误报警 三.SSL协议安全性…