应急响应基础--Windows
应急响应基础--Windows
1.系统排查
1.1系统基本信息
msinfo32 #按win + r 键弹出运行窗口,再命令行中输入 msinfo32 命令打开系统信息窗口,了解
硬件资源、组件和软件环境的信息。另外可以对正在运行任务、服务、系统驱动程序等进行排查。图一
systeminfo #如果只是简单了解系统信息,win + r +cmd命令行输入systeminfo命令查看主机名、
操作系统版本等信息。图二
图一
图二
1.2用户信息
攻击者三个方法,1.直接建立,2.激活不常用默认账户,3.建立隐藏用户
net user #收集用户信息
net user username #查看某个用户详细信息 (username为用户名)
lusrmgr.msc #运行窗口输入,查看隐藏用户,命名以$结尾, 图一
打开注册表编辑器 让当前用户拥有SAM的读取权限。 图二
图一
图二
1.3启动项
是病毒后门等实现持久化驻留的一种常用方法。
msconfig 查看启动项详细信息。如图
1.4 任务计划
计算机管理窗口--系统工具--任务计划程序--任务计划库 #查看任务计划
powershell下输入 Get-ScheduledTask 命令 #查看任务计划
cmd命令行中输入schtasks #获取任务计划信息
1.5 服务排查
运行对话框,输入services.msc
2.进程排查
2.1进程排查命令
2.1.1tasklist命令
任务管理器查看 ctal+shift+esc打开 另外打开命令行和路径名称获取更多信息,图一
tasklist #命令查看
tasklist /svc #查看进程和服务对应情况
tasklist /m #查看某些加载dll的恶意进程
tasklist /m 名称 #可查看某dll模块的进程
tasklist /svc /fi "PID eq 922" #查看pid为922的进程
2.1.2netstat命令
netstat -ano | findstr "ESTABLISHED" #查看目前的网络链接,定位可疑的ESTABLISHED
tasklist | find "xxxx" #netstat定位出pid,再用tasklist定位xxxx pid查看具体程序
netstat -anb #(管理权限) 快速定位端口对应程序
3.文件痕迹排查
3.1敏感目录
C:\Windows\Temp #查看临时文件是否异常文件, 快速打开方式:WIN + R ,输入 temp
浏览器历史记录 #查看是否有下载恶意程序
recent #查看最近访问 速打开的方式: WIN + R ,输入 Recent
%SystemRoot%\Prefetch #预读文件夹,用来存放系统已经访问过的文件的预读信息,运行窗口输入。
Amcache.hve #程序执行情况 运行窗口输入 %SystemRoot%\appcompat\Programs\
forfiles #时间点查找 cmd命令行输入
forfiles /m *.exe /d +2024/6/4 /s /p c:\ /c "cmd /c echo @path @fdate @ftime" 2>null
#对2024/6/4后的exe新建文件进行搜索
4.日志分析
每个版本系统日志存放位置不一样,可以先查看系统版本,再根据实际情况位置路径分析日志。
运行对话框输入 eventvwr命令打开事件查看器,对系统、安全、应用、powershell日志等排查
在Windows Vista/windwos 7/windows 8/windows 10/windows server 2008及以上版本中:
系统日志位置:%SystemRoot%\System32\Winevt\Logs\System.evtx
安全性日志位置:%SystemRoot%\System32\Winevt\Logs\Security.evtx
应用程序日志位置:%SystemRoot%\System32\Winevt\Logs\Application.evtx
事件id解释可参考csdn这位师傅总结:
https://blog.csdn.net/m0_60574457/article/details/120216127
注:本文章内容主要记录分享日常学习,如所非法他用,与平台和本文作者无关,后果自负;另外文章内容若有不足之处,欢迎各位师傅批评指正!
- 点赞
- 收藏
- 关注作者
评论(0)