应急响应操作指南-Windows排查流程
系统用户
排查点:
(1)当前登录账号的登录时间
(2)克隆账号、隐藏账号
(3)Guest账号
查看当前已登录账户 query user
如果该台主机被远程登录,执行query user可以看到会话名字段包含rdp字符
查看用户目录是否存在新建用户目录 C:\Users
查看是否存在可疑账户、新增账号(注意Guest账号是否启用),Win+R输入lusrmgr.msc
查看隐藏账号、克隆账号,Win+R输入regedit打开注册表查看
HKLM\SAM\SAM\Domains\Account\Users下的是否包含异常键值对,
例如下图管理员帐户Administrator对应的注册表键值为HKLM \SAM\SAM\Domains\Account\Users\000001F4
工具:
PC Hunter
D盾
02
—
进程
排查点:
(1)没有签名验证信息的进程
(2)没有描述信息的进程
(3)路径不合法的进程
(4)CPU或者内存长时间过高占用的进程
(5)存在异常网络连接的进程
(6)属主异常的进程
Win+R 输入 msinfo32,查看软件环境->正在进行的任务
Win+R输入taskmgr,打开任务管理器,可以通过选择列展示想要查看的内容
查看进程的命令行
查看所有程序:
wmic process getcaption,commandline /value
如果想查询某一个进程的命令行参数,使用下列方式:
wmic process wherecaption="svchost.exe" get caption,commandline /value
这样就可以得到进程的可执行文件位置等信息。
查看进程加载dll文件
tasklist /m
tasklist /m ntdll.dll
工具:
PC Hunter
Process Hacker
03
—
启动项
注册表:
单击【开始】->【运行】,输入regedit
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
系统配置:
单击【开始】->【运行】,输入msconfig,查看是否存在命名异常的启动项目,是则取消勾选命名异常的启动项目,并到命令中显示的路径删除文件。
本地组策略:
单击【开始】->【运行】,输入gpedit.msc,选择计算机配置->Windows设置->脚本(启动、关机)
开始菜单:
C:\Documents andSettings\${user}\开始\程序\启动
04
—
计划任务
(1) 任务计划程序
单击【开始】->【运行】,输入 taskschd.msc
(2) at命令
Win7之前可以使用at
添加任务 at 23:00 notepad.exe
当前任务列表 at
查看任务详细信息 at id
删除任务 at id /del /yes
Win10上不支持at
可以在任务计划程序中看到计划任务执行日志
(3)schtasks
参数列表:
/Create 创建新计划任务。
/Delete 删除计划任务。
/Query 显示所有计划任务。
/Change 更改计划任务属性。
/Run 按需运行计划任务。
/End 中止当前正在运行的计划任务。
/ShowSid 显示与计划的任务名称相应的安全标识符。
/? 显示此帮助消息。
/TN 计划任务名称
/SC 执行周期MINUTE: 1 到 1439 分钟。HOURLY: 1 - 23 小时。DAILY: 1 到 365 天。WEEKLY: 1 到 52 周。
/ST 指定运行任务的开始时间
/TR 指定运行程序的路径
创建任务
Schtasks /Create /TNTest /SC HOURLY /ST 01:02 /TRnotepad.exe
删除任务
Schtasks /Delete /TNTest
05
—
服务
单击【开始】-【运行】,输入Services.msc
06
—
驱动
注册表路径
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services,
系统文件路径
C:\Windows\System32\drivers
start字段这些数字分别表示服务启动的类型
0 引导
1 系统
2 自动
3 手动
4 禁用
07
—
网络连接
执行命令 netstat -ano
工具:
Tcpview
08
—
防火墙策略
排查点:防火墙放行端口和应用程序。
查看防火墙策略
netsh firewall showconfig
也可以到控制面板->系统和安全->Windows Defender 防火墙 -> 高级设置查看入站和出站规则
查看防火墙放行的程序
netsh firewall showallowedprogram
查看防火墙放行端口
netsh firewall showportopening