应急响应操作指南-Windows排查流程 - 时代新威网络安全实验室

应急响应操作指南-Windows排查流程

系统用户

排查点：

(1)当前登录账号的登录时间

(2)克隆账号、隐藏账号

(3)Guest账号

查看当前已登录账户 query user

$C:\Users\haiku\Desktop\微信图片_20200911140144.jpg$

如果该台主机被远程登录，执行query user可以看到会话名字段包含rdp字符

$C:\Users\haiku\Desktop\微信图片_20200911140312.jpg$

查看用户目录是否存在新建用户目录 C:\Users

$C:\Users\haiku\Desktop\微信图片_20200911140502.jpg$

查看是否存在可疑账户、新增账号（注意Guest账号是否启用）,Win+R输入lusrmgr.msc

$C:\Users\haiku\Desktop\微信图片_20200911140656.png$

查看隐藏账号、克隆账号,Win+R输入regedit打开注册表查看

HKLM\SAM\SAM\Domains\Account\Users下的是否包含异常键值对，

例如下图管理员帐户Administrator对应的注册表键值为HKLM \SAM\SAM\Domains\Account\Users\000001F4

$C:\Users\haiku\Desktop\微信图片_20200911140759.png$

工具：

PC Hunter

$C:\Users\haiku\Desktop\微信图片_20200911141102.jpg$

D盾

$C:\Users\haiku\Desktop\微信图片_20200911141157.jpg$

—

进程

排查点：

(1)没有签名验证信息的进程

(2)没有描述信息的进程

(3)路径不合法的进程

(4)CPU或者内存长时间过高占用的进程

(5)存在异常网络连接的进程

(6)属主异常的进程

Win+R 输入 msinfo32，查看软件环境->正在进行的任务

$C:\Users\haiku\Desktop\微信图片_20200911141327.png$

Win+R输入taskmgr，打开任务管理器，可以通过选择列展示想要查看的内容

$C:\Users\haiku\Desktop\微信图片_20200911141441.jpg$

查看进程的命令行

查看所有程序：

wmic process getcaption,commandline /value

如果想查询某一个进程的命令行参数，使用下列方式：

wmic process wherecaption="svchost.exe" get caption,commandline /value

这样就可以得到进程的可执行文件位置等信息。

$C:\Users\haiku\Desktop\微信图片_20200911141548.jpg$

查看进程加载dll文件

tasklist /m

tasklist /m ntdll.dll

$C:\Users\haiku\Desktop\微信图片_20200911141712.png$

工具:

PC Hunter

$C:\Users\haiku\Desktop\微信图片_20200911141820.jpg$

Process Hacker

$C:\Users\haiku\Desktop\微信图片_20200911142311.jpg$

—

启动项

注册表：

单击【开始】->【运行】，输入regedit

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

系统配置：

单击【开始】->【运行】，输入msconfig，查看是否存在命名异常的启动项目，是则取消勾选命名异常的启动项目，并到命令中显示的路径删除文件。

$C:\Users\haiku\Desktop\微信图片_20200911142416.jpg$

本地组策略：

单击【开始】->【运行】，输入gpedit.msc，选择计算机配置->Windows设置->脚本（启动、关机）

$C:\Users\haiku\Desktop\微信图片_20200911142529.jpg$

开始菜单:

C:\Documents andSettings\${user}\开始\程序\启动

—

计划任务

(1) 任务计划程序

单击【开始】->【运行】，输入 taskschd.msc

$C:\Users\haiku\Desktop\微信图片_20200911142640.jpg$

(2) at命令

Win7之前可以使用at

添加任务 at 23:00 notepad.exe

当前任务列表 at

查看任务详细信息 at id

删除任务 at id /del /yes

$C:\Users\haiku\Desktop\微信图片_20200911142731.jpg$

$C:\Users\haiku\Desktop\微信图片_20200911142837.jpg$

Win10上不支持at

$C:\Users\haiku\Desktop\微信图片_20200911142930.jpg$

可以在任务计划程序中看到计划任务执行日志

$C:\Users\haiku\Desktop\微信图片_20200911143030.jpg$

$C:\Users\haiku\Desktop\微信图片_20200911143034.jpg$

(3)schtasks

参数列表:

/Create 创建新计划任务。

/Delete 删除计划任务。

/Query 显示所有计划任务。

/Change 更改计划任务属性。

/Run 按需运行计划任务。

/End 中止当前正在运行的计划任务。

/ShowSid 显示与计划的任务名称相应的安全标识符。

/? 显示此帮助消息。

/TN 计划任务名称

/SC 执行周期MINUTE: 1 到 1439 分钟。HOURLY: 1 - 23 小时。DAILY: 1 到 365 天。WEEKLY: 1 到 52 周。

/ST 指定运行任务的开始时间

/TR 指定运行程序的路径

创建任务

Schtasks /Create /TNTest /SC HOURLY /ST 01:02 /TRnotepad.exe

$C:\Users\haiku\Desktop\微信图片_20200911143208.jpg$

删除任务

Schtasks /Delete /TNTest

$C:\Users\haiku\Desktop\微信图片_20200911143248.jpg$

—

服务

单击【开始】-【运行】，输入Services.msc

$C:\Users\haiku\Desktop\微信图片_20200911143408.jpg$

—

驱动

注册表路径

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services，

系统文件路径

C:\Windows\System32\drivers

$C:\Users\haiku\Desktop\微信图片_20200911143458.png$

start字段这些数字分别表示服务启动的类型

0 引导

1 系统

2 自动

3 手动

4 禁用

—

网络连接

执行命令 netstat -ano

$C:\Users\haiku\Desktop\微信图片_20200911143608.png$

工具：

Tcpview

$C:\Users\haiku\Desktop\微信图片_20200911143712.jpg$

—

防火墙策略

排查点：防火墙放行端口和应用程序。

查看防火墙策略

netsh firewall showconfig

也可以到控制面板->系统和安全->Windows Defender 防火墙 -> 高级设置查看入站和出站规则

$C:\Users\haiku\Desktop\微信图片_20200911143816.jpg$

查看防火墙放行的程序

netsh firewall showallowedprogram

查看防火墙放行端口

netsh firewall showportopening