常見的應(yīng)急響應(yīng)事件分類:
web入侵:網(wǎng)頁(yè)掛馬、主頁(yè)篡改他挎、Webshell
系統(tǒng)入侵:病毒木馬、勒索軟件捡需、遠(yuǎn)控后門
網(wǎng)絡(luò)攻擊:DDOS攻擊办桨、DNS劫持、ARP欺騙
系統(tǒng)入侵
進(jìn)程角度出發(fā)
1. 進(jìn)程相關(guān)排查
常用指令:tasklist
為了演示方便站辉,運(yùn)行一段C寫好的死循環(huán)程序模擬后門程序呢撞。
通過(guò)進(jìn)程查看损姜,發(fā)現(xiàn)Cpp2.exe為未知程序,查詢其PID為10112
2. 惡意進(jìn)程關(guān)閉
常用指令:taskkill
常用參數(shù): /F 強(qiáng)制關(guān)閉 /T 結(jié)束進(jìn)程以及子進(jìn)程殊霞,整個(gè)進(jìn)程樹
切記使用管理員權(quán)限啟動(dòng)控制臺(tái)
3. 進(jìn)程驗(yàn)證
4.Powershell擴(kuò)展
可以先進(jìn)行批量排查
將查到的PID進(jìn)行存儲(chǔ),存儲(chǔ)到指定變量中
可以通過(guò)下標(biāo)進(jìn)行讀取PID數(shù)值,這就是Powershell面向?qū)ο笏枷氪菰模Y(jié)合C#面向?qū)ο笏枷刖幊虒W(xué)習(xí)來(lái)看很容易理解
可以寫Powershell腳本,通過(guò)循環(huán)執(zhí)行kill進(jìn)行達(dá)到批量查殺進(jìn)程目的绷蹲,為了進(jìn)行演示棒卷,本次逐一進(jìn)行獲取查殺
賬戶角度出發(fā)
1. 系統(tǒng)賬戶命令排查
常用指令:net user
此命令缺陷是無(wú)法查到隱藏用戶
2. 計(jì)算機(jī)管理中排查
快捷命令 :compmgmt.msc 或 lusrmgr.msc
啟動(dòng)項(xiàng)(任務(wù)計(jì)劃)角度出發(fā)
1. 系統(tǒng)啟動(dòng)項(xiàng)排查
位置:任務(wù)管理器 Win7及以前可嘗試msconfig
2. 計(jì)劃任務(wù)排查
常用命令 : at 若at失效可使用 schtasks
網(wǎng)絡(luò)通信角度出發(fā)
常用命令 : netstat -ano -p TCP | findstr port
通過(guò)查詢135端口開放,可以查詢到對(duì)應(yīng)PID祝钢,從而跳轉(zhuǎn)到進(jìn)程角度進(jìn)行處理
系統(tǒng)信息角度出發(fā)
常用命令 : winver systeminfo msinfo32
敏感目錄與文件
1. 敏感文件
host文件: 系統(tǒng)根目錄\System32\drivers\etc\hosts 【防止本地DNS篡改】
2. 敏感目錄
Recent:存放著你最近使用的文檔的快捷方式
Temp:Windows產(chǎn)生的臨時(shí)文件RECYCLER: 每個(gè)盤符都存在隱藏回收站文件夾比规,例如就曾經(jīng)發(fā)生過(guò)的RECYCLER病毒
日志分析出發(fā)
1. 常用快捷命令 :eventvwr.msc
4624:登陸成功
4625:登陸失敗
4672:新登錄分配權(quán)限
4723:嘗試修改密碼
2. Powershell擴(kuò)展
關(guān)鍵命令 Get-EventLog
關(guān)鍵參數(shù) System(系統(tǒng)日志) Security(安全日志) Application(應(yīng)用)
后記
第一次寫關(guān)于應(yīng)急方面的總結(jié),難免會(huì)出現(xiàn)錯(cuò)誤拦英,發(fā)現(xiàn)問(wèn)題之處歡迎指出蜒什,希望能夠與我溝通,便于后期訂正修改疤估。
聯(lián)系方式:QQ 3300744526
常見工具
PCHunter
D盾
火絨劍
Log Parser
....
參考資料
- 博客園:Windows入侵排查思路
- Timeline Sec公眾號(hào) :HW防守 | Windows應(yīng)急響應(yīng)基礎(chǔ)
- pstips.net PowerShell 在線教程
