Windows安全应急--应急排查的一些方法

前言:

非法BC植入网站安全应急,

在安全应急中,

总会需要大大小小的问题,

就像成长一样。


检测工具尽量使用轻量级的。。

本次演示环境 Windows Server 2008


问题排查步骤:

  1. 先判断服务器有没有被Rootkit

  2. 查看登录日志,任务计划,开机启动项

  3. 检测用户活动文件等

  4. 检查隐藏账户,注册表


NO.1 检查服务器有没有被Rootkit

这一步很重要,如果被Rootkit(相当于被提权了),那只能重装系统了。

这里推荐两款检测工具,

1. PCHunter

这款工具还是很强大的,

检测项也很多,方便判断各项有没有异常,

images


看的这基本可以判断服务器没有被Rootkit。


2. RootkitRevealer

这款工具也OK,问题就是版本有点老了,高版本服务器可能跑不起来,

images


这里也方便查看各项,


除了使用工具排查,最好再手动检测看看,

当然目前本菜还不会,/手动捂脸。


NO.2 检查登录日志,任务计划,开机启动项

1.检查有没有异常登录情况

控制面板 -> 查看事件日志 -> Windows日志 -> 安全

images


可以根据登录日志去排查入侵日期,

也可以判断攻击者是不是通过爆破口令入侵的。


2.任务计划

主要目的是检查攻击者有没有设置定时任务运行恶意程序,

很多攻击者为了躲避管理员,设置凌晨运行恶意程序,到早上再自动关闭。

管理工具 -> 任务计划程序

images


3.开机启动项

这个好像没什么好解释了,

很多安全软件能够更准确的判断出恶意启动项,

然后找出程序,干掉。

images


在任务管理器这里勾选PID,能够更快速的定位恶意进程。


NO.3 检查活动文件

1.用户桌面文件

只要攻击者创建用户,或者用administrator账号在服务器上活动,就会留下痕迹。

images


放一张之前应急的截图,

images


可以看到,heibai这个账号的遗留痕迹,

可以通过这些遗留文件获取攻击者的一些活动范围


2.下载文件

路径:
C:\Documents and Settings\cracker\桌面

用户的桌面,可能放有一些临时文件或下载的文件

images


这个文件夹一般是隐藏的,需要在文件夹选项设置显示,

通常情况下是拒绝访问的,可以参考一下这篇文章

https://jingyan.baidu.com/article/c910274bc7530acd361d2dca.html

3.用户的网络访问情况

路径:
C:\Documents and Settings\cracker\Cookies

用户的网络访问情况,cookie 文件中可能会记录一些敏感信息

跟上面一样,也是隐藏的。。


4.程序安装的临时文件

路径:
C:\Documents and Settings\cracker\Local Settings\Temp

一些程序安装、解压缩等操作可能会在该目录产生临时文件


5.最近浏览痕迹

路径:
C:\Documents and Settings\cracker\Recent

用户最近访问过哪些文件或文件夹


6.上网的历史记录

路径:
C:\Documents and Settings\cracker\Local Settings\History

用户上网的历史记录


7.临时文件

路径:
C:\Documents and Settings\cracker\Local Settings\Temporary Internet Files

上网时产生的临时文件,不但会存储网页页面内容,还可能以临时文件的方式存储 一些下载的文件


NO.4 检查隐藏账号,注册表

一些攻击者通常使用 $ 符号来创建隐藏账户,

这些账户输入 net user无法查看到,

我们可以通过 管理工具 -> 计算机管理 -> 用户

查看到这些隐藏用户。

images


关于注册表隐藏用户可以看看这里

https://www.cnblogs.com/wjvzbr/p/7906855.html

注册表也很重要,账户可以修改注册表来达到隐藏,

一些文件可以通过修改注册表达到再生,

前面说的一些安全工具都可以检查注册表,

这里推荐一个轻量级安全检查脚本,需要管理员权限运行

https://www.jb51.net/bat/498789.html

检查之后可以手工再去看看。


本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/635737.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

[STM32-HAL库]Flash库-HAL库-复杂数据读写-STM32CUBEMX开发-HAL库开发系列-主控STM32F103C6T6

目录 一、前言 二、实现步骤 1.STM32CUBEMX配置 2.导入Flash库 3.分析地址范围 4.找到可用的地址 5.写入读取普通数据 6.写入读取字符串 6.1 存储相关信息 6.2 存取多个参数 三、总结及源码 一、前言 在面对需要持久化存储的数据时,除了挂载TF卡,我们…

java技术:oauth2协议

目录 一、黑马程序员Java进阶教程快速入门Spring Security OAuth2.0认证授权详解 1、oauth服务 WebSecurityConfig TokenConfig AuthorizationServer 改写密码校验逻辑实现类 2、oauth2支持的四种方式: 3、oauth2授权 ResouceServerConfig TokenConfig 4、…

CSS学习笔记之高级教程(二)

10、CSS 3D 转换 通过 CSS transform 属性&#xff0c;您可以使用以下 3D 转换方法&#xff1a; rotateX()rotateY()rotateZ() 10.1 rotateX() 方法&#xff08;使元素绕其 X 轴旋转给定角度&#xff09; <!DOCTYPE html> <html lang"en"><head&g…

2024-05-23 vscode + clang + clangd 解锁 modules

点击 <C 语言编程核心突破> 快速C语言入门 vscode clang clangd 解锁 modules 前言一、准备二、使用备注: 总结 前言 要解决问题: 昨天解锁VS使用modules, 但是不完美, 没有代码提示和补全了, 今天用 vscode clang clangd 解锁 modules, 同时还有代码补全及提示. …

第十一章 文件及IO操作

第十一章 文件及IO操作 文件的概述及基本操作步骤 文件&#xff1a; 存储在计算机的存储设备中的一组数据序列就是文件不同类型的文件通过后缀名进行区分 文本文件&#xff1a;由于编码格式的不同&#xff0c;所占磁盘空间的字节数不同(例如GBK编码格式中一个中文字符占2字…

K8S集群再搭建

前述&#xff1a;总体是非常简单的&#xff0c;就是过程繁琐&#xff0c;不过都是些重复的操作 master成员: [controller-manager, scheduler, api-server, etcd, proxy,kubelet] node成员: [kubelet, proxy] master要修改的配置文件有 1. vi /etc/etcd/etcd.conf # 数…

【设计模式深度剖析】【4】【创建型】【建造者模式】| 类比选购汽车的过程,加深理解

&#x1f448;️上一篇:抽象工厂模式 | 下一篇:原型模式&#x1f449;️ 目录 建造者模式概览定义英文原话直译如何理解呢&#xff1f;建造者模式将对象的建造过程给抽象出来了类比选购汽车 4个角色UML类图1. 抽象建造者&#xff08;Builder&#xff09;角色2. 具体建造者…

盲人社会适应性训练:打开生活的新篇章

在现代社会的快节奏中&#xff0c;每一位成员都在寻求更好的方式来适应环境&#xff0c;对于盲人群体而言&#xff0c;这种适应性尤为关键。盲人社会适应性训练作为一个旨在提升盲人生活质量和独立性的系统性过程&#xff0c;正逐步受到广泛关注。在这一过程中&#xff0c;一款…

安灯呼叫系统解决方案在生产中的应用

工厂安灯呼叫系统是一种用于监控工厂设备运行情况和生产状况的系统。它通常包括各种传感器和监控设备&#xff0c;可以实时监测工厂的生产流程&#xff0c;提供运行状态、故障警报、生产效率等信息。通过工厂安灯系统&#xff0c;工厂管理人员可以及时了解生产情况&#xff0c;…

探数API统计分享-中国各省人均消费支出

根据2017年至2021年的统计数据&#xff0c;我国各省&#xff08;市、区&#xff09;的人均消费支出情况各不相同。其中&#xff0c;上海的人均消费支出最高&#xff0c;达到了2021年的48879元&#xff0c;位居全国之首。紧随其后的是北京&#xff0c;人均消费支出为43640元。 相…

肯尼亚大坝决堤反思:强化大坝安全监测的必要性

一、背景介绍 近日&#xff0c;肯尼亚发生了一起严重的大坝决堤事件。当地时间4月29日&#xff0c;肯尼亚内罗毕以北的一座大坝决堤&#xff0c;冲毁房屋和车辆。当地官员称&#xff0c;事故遇难人数已升至71人。这起事件再次提醒我们&#xff0c;大坝安全无小事&#xff0c;监…

【机器学习高级】强化学习综述

文章目录 一、说明二、强化学习是什么&#xff1f;2.1 与现代神经网络的相异2.2 强化学习属于行为学派2.3 强化学习数学支持 三、强化学习有什么好处&#xff1f;3.1 在复杂环境中表现出色3.2 需要较少的人际互动3.3 针对长期目标进行优化 四、强化学习有哪些用例&#xff1f;4…

到底什么是数字?

来源&#xff1a;Bulletins from the Wolfram Physics Project 一、说明 数字这个概念是最普遍而又最难把控的概念。对数字概念的深度解读&#xff0c;决定人类社会方方面面的整体水平。而且&#xff0c;随着宇宙知识的认识&#xff0c;数字概念也似乎在膨胀中。 外星人乘坐星际…

Transformer,革命性的深度学习架构

Transformer 是一种革命性的深度学习架构,专门设计用于处理序列数据,特别是在自然语言处理(NLP)任务中表现卓越。它由 Vaswani 等人在 2017 年发表的论文《Attention is All You Need》中首次提出,打破了当时基于循环神经网络(RNN)和卷积神经网络(CNN)的序列建模常规,…

Tailwind CSS快速入门

文章目录 初识安装Tailwindcss试用安装快速书写技巧扩展好处Todo 初识 只需书写 HTML 代码&#xff0c;无需书写 CSS&#xff0c;即可快速构建美观的网站 Tailwind CSS 是一个功能类优先的 CSS 框架&#xff0c;它通过提供大量的原子类&#xff08;utility classes&#xff09;…

【Android14 ShellTransitions】(二)创建Transition

这一节的内容在WMCore中&#xff0c;主要是创建Transition&#xff0c;初始化其状态为PENDING。 还是我们之前说的&#xff0c;我们以在Launcher界面点击App图标启动某个App为例&#xff0c;来分析Transition的一般流程。启动Activity的流程&#xff0c;在ActivityStarter.star…

[桌面端应用开发] 从零搭建基于Caliburn的图书馆管理系统(C#合集)

图书馆系统要求&#xff1a; 你是一家新市图书馆的经理。 图书馆拥有大量藏书和不断增长的会员。 为了使图书馆管理更加容易&#xff0c;现在创建一个图书馆管理系统。 图书馆管理系统应具备以下功能&#xff1a; 1.图书管理&#xff1a;系统应该能够向图书馆添加新图书。 每本…

【Linux-驱动开发】

Linux-驱动开发 ■ Linux-应用程序对驱动程序的调用流程■ Linux-file_operations 结构体■ Linux-驱动模块的加载和卸载■ 1. 驱动编译进 Linux 内核中■ 2. 驱动编译成模块(Linux 下模块扩展名为.ko) ■ Linux-■ Linux-■ Linux-设备号■ Linux-设备号-分配■ 静态分配设备号…

【设计模式深度剖析】【2】【结构型】【装饰器模式】| 以去咖啡馆买咖啡为例 | 以穿衣服出门类比

&#x1f448;️上一篇:代理模式 目 录 装饰器模式定义英文原话直译如何理解呢&#xff1f;4个角色类图1. 抽象构件&#xff08;Component&#xff09;角色2. 具体构件&#xff08;Concrete Component&#xff09;角色3. 装饰&#xff08;Decorator&#xff09;角色4. 具体装饰…

5分钟在 VSCode 中使用 PlantUML 绘图

去年&#xff0c;写过一篇在 VSCode 中使用 PlantUML 的博客&#xff0c;那时候我嫌弃本地安装麻烦&#xff0c;所以采用的是在本地运行 docker 容器的方法部署的 PlantUML 服务端。不过&#xff0c;现在来看这样还必须依赖在本地手动启动 docker 容器&#xff08;如果有一个不…