windows应急响应

发表于 更新于 分类于 阅读次数:

开机启动排查

  • C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

  • 按下Win徽+R 输入msconfig 选择启动选项卡

  • 任务管理器-启动选项卡

  • 按下Win徽+R 输入regedit查找HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

temp临时文件检查

temp是在c盘下的临时目录,低权限用户也可以使用此文件夹,所以此位置容易被利用。

查看temp文件夹发现是否存在PE文件(exe\dll\sys后缀文件),或者特别大的文件

对可疑文件进行分析www.virustotal.com

  • 按下Win徽+R 输入%temp%可以直接打开临时文件夹
  • 旧版系统可以手动打开C:\Documents and setting\Administrator\Local Setting

浏览器检查

电脑被黑客入侵后黑客有可能会使用浏览器从危险站点下载木马病毒等,所以分析历史记录、下载记录、cookie信息还是有必要的。

经典分析工具:

历史记录分析:Browsing History View

Cookie记录分析:IE Cookies View

文件属性分析

右键文件查看文件属性,是否有修改时间早于创建时间的文件。

最近使用的文件

  • 针对于windows10系统可以在文件夹选项中开启快速访问功能,通过计算机-快速访问查看最近使用的文件。
  • 按下Win徽+R 输入%UserProfile%\Recent

WebShell查杀

  • 在文件中查找关键字evalfind /c /n /i "eval" C:\inetpub\wwwroot\1.asp

  • D盾 选择目录-扫描

进程分析

  • 查看已经建立的连接:netstat -ano | find "ESTABLISH"

  • 查看具体PID对应的进程:tasklist /svc | find "PID值"

  • 强制关闭进程树:taskkill /PID pid值 /T /F

专业进程分析工具:PSexplore、火绒剑

计划任务分析

  • schtasks或者at(win10已废弃)命令可以查看计划任务
  • 任务计划程序

Tip:在任务计划程序中添加的任务计划不会在at命令中显示,但是在at命令中添加的任务计划会在任务计划程序中显示。

后门账号发现和删除

  • net user test$ test /add创建了一个test$用户,此用户因为$符号所以不会被显示在net user命令中。可以通过控制面板-管理工具-计算机管理-本地用户和组查看和管理此类隐藏用户。
  • 对于直接添加在注册表中的后门用户,只能通过查看注册表进行修改和删除,按下Win徽+R 输入regedit,依次展开HKEY_LOCAL_MACHINE-SAM-Domains-Account-Users-Names,如果在Names中发现异常用户,不仅要在Names中删除,还需要在Names的上层目录Users中删除对应位置的权限文件。