windows应急响应基础知识

一、系统排查

1、系统详细信息

systeminfo

在这里插入图片描述

2、网络链接

netstat -ano

在这里插入图片描述

LISTENING  服务启动后首先处于侦听
ESTABLISHED  建立连接。表示两台机器正在通信。
CLOSE_WAIT  对方主动关闭连接或者网络异常导致连接中断，这时我方的状态会变成CLOSE_WAIT 此时我方要调用close()来使得连接正确关闭
TIME_WAIT 我方主动调用close()断开连接，收到对方确认后状态变为TIME_WAIT。

根据PID定位进程

重点关注 ESTABLISHED pid
查看进程 tasklist

tasklist | findstr "1612"

在这里插入图片描述

快速定位端口对应的进程

netstat -anb

在这里插入图片描述

根据进程定位应用程序

任务管理器-进程-选中进程名-右击打开文件位置

在这里插入图片描述

3、利用系统启动项执行后门

系统中的启动目录

C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
等于
运行-shell:startup

在这里插入图片描述

系统配置msconfig

运行-msconfig

在这里插入图片描述

注册表启动

HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

4、计划任务

运行-taskschd.msc   
打开计划任务-查看属性(检测是否存在、可疑的任务）

在这里插入图片描述

也可以在终端里schtasks命令查看

在这里插入图片描述

5、组策略

运行-gpedit.msc

在这里插入图片描述

6、注册表

运行-regedit

在这里插入图片描述

7、服务

运行-msconfig
或者
计算机-管理-服务和应用程序-服务

在这里插入图片描述

二、排查检测账号

1、查看当前系统在线用户

query user

在这里插入图片描述

2、查看系统隐藏用户

账号后面加上$在命令终端是查看不到
net user

在这里插入图片描述

需要在计算机管理 本地用户和组查看
也可以运行-lusrmgr.msc

在这里插入图片描述

3、账号克隆

访问注册表  HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users 权限不够可以设置可读权限

在这里插入图片描述

wmic方法查询用户信息
wmic useraccount get name,Sid

在这里插入图片描述

可以用D盾去检测用户是否被克隆

在这里插入图片描述

三、文件痕迹排查

1、查看用户最近的打开的文件

 运行-%UserProfile%\Recent 
 查看用户最近的打开的文件 对可疑的文件进行分析 文件可疑上传到 病毒库平台分析。

在这里插入图片描述
在线检测分析平台
http://www.virscan.org //多引擎在线病毒扫描网 v1.02，当前支持 41 款杀毒引擎
https://habo.qq.com //腾讯哈勃分析系统
https://virusscan.jotti.org //Jotti恶意软件扫描系统
http://www.scanvir.com //针对计算机病毒、手机病毒、可疑文件等进行检测分析

2、查看临时目录

运行-%tmp%

在这里插入图片描述

四、进程排查

1、打开任务管理器查看进程

在这里插入图片描述

2、tasklist命令

在这里插入图片描述

tasklist /svc 查看每个进程和服务对应的情况

在这里插入图片描述

根据PID定位进程
tasklist | findstr "1612"

在这里插入图片描述

五、windows 系统安全日志分析

主要记录系统的安全信息，包括成功的登录、退出，不成功的登录，系统文件的创建、删除、更改，需要指明的是安全日志只有系统管理员才可以访问，这也体现了在大型系统中安全的重要性。

在这里插入图片描述

事件ID汇总 https://blog.csdn.net/qq_45825991/article/details/115577680

事件查看器

控制面板 ->管理工具 ->事件查看器
或者
运行-eventvwr或eventvwr.msc
在事件点击安全  点击  筛选当前日志 输入id进行 筛选

在这里插入图片描述
搜索4720 看到创建被创建隐藏账号

筛选 4625 找到大量的失败的登录日志有可能被暴力破解。

六、web日志分析

从Web应用日志中，可以分析攻击者在什么时间、使用哪个IP，访问了哪个网站。  
根据使用不同的中间件，log日志位置也不同，百度搜即可。

1、nginx

在这里插入图片描述

2、apache

在这里插入图片描述

3、tomcat

在这里插入图片描述

七、webshell查杀&木马病毒查杀

1、webshell

河马：https://www.shellpub.com/
D盾(iis)：https://www.d99net.net/

2、木马病毒

火绒：https://www.huorong.cn/
360杀毒：https://sd.360.cn/
电脑管家：https://guanjia.qq.com/

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：/a/547468.html

如若内容造成侵权/违法违规/事实不符，请联系我们进行投诉反馈qq邮箱809451989@qq.com，一经查实，立即删除！