时代新威网络安全实验室

  • 首页
  • 安全资讯
  • 安全服务
    • 渗透测试
    • 攻防演习
    • 安全咨询
    • 代码审查
    • 应急响应
    • 安全培训
  • 知识分享
  • 内部资源
    • 信息搜集
    • 漏洞发现
    • 漏洞利用
    • 权限维持
    • 密码爆破
    • 内网渗透
    • APT
    • 安全竞赛
    • 2021HW
  • 关于我们
  • 登录与注册
    • 登录
    • 注册
Kratos
一款专注于用户阅读体验的响应式博客主题
  1. 首页
  2. 安全服务
  3. 应急响应
  4. 正文

应急响应操作指南-Windows排查流程

2020年9月11日 437点热度 2人点赞 0条评论

应急响应操作指南-Windows排查流程

系统用户

排查点:

(1)当前登录账号的登录时间

(2)克隆账号、隐藏账号

(3)Guest账号

查看当前已登录账户 query user

C:\Users\haiku\Desktop\微信图片_20200911140144.jpg

如果该台主机被远程登录,执行query user可以看到会话名字段包含rdp字符

C:\Users\haiku\Desktop\微信图片_20200911140312.jpg

查看用户目录是否存在新建用户目录 C:\Users

C:\Users\haiku\Desktop\微信图片_20200911140502.jpg

查看是否存在可疑账户、新增账号(注意Guest账号是否启用),Win+R输入lusrmgr.msc

C:\Users\haiku\Desktop\微信图片_20200911140656.png

查看隐藏账号、克隆账号,Win+R输入regedit打开注册表查看

HKLM\SAM\SAM\Domains\Account\Users下的是否包含异常键值对,

例如下图管理员帐户Administrator对应的注册表键值为HKLM \SAM\SAM\Domains\Account\Users\000001F4

C:\Users\haiku\Desktop\微信图片_20200911140759.png

工具:

PC Hunter

C:\Users\haiku\Desktop\微信图片_20200911141102.jpg

D盾

C:\Users\haiku\Desktop\微信图片_20200911141157.jpg

02

—

进程

排查点:

(1)没有签名验证信息的进程

(2)没有描述信息的进程

(3)路径不合法的进程

(4)CPU或者内存长时间过高占用的进程

(5)存在异常网络连接的进程

(6)属主异常的进程

Win+R 输入 msinfo32,查看软件环境->正在进行的任务

C:\Users\haiku\Desktop\微信图片_20200911141327.png

Win+R输入taskmgr,打开任务管理器,可以通过选择列展示想要查看的内容

C:\Users\haiku\Desktop\微信图片_20200911141441.jpg

查看进程的命令行

查看所有程序:

wmic process getcaption,commandline /value

如果想查询某一个进程的命令行参数,使用下列方式:

wmic process wherecaption="svchost.exe" get caption,commandline /value

这样就可以得到进程的可执行文件位置等信息。

C:\Users\haiku\Desktop\微信图片_20200911141548.jpg

查看进程加载dll文件

tasklist /m

tasklist /m  ntdll.dll

C:\Users\haiku\Desktop\微信图片_20200911141712.png

工具:

PC Hunter

C:\Users\haiku\Desktop\微信图片_20200911141820.jpg

Process Hacker

C:\Users\haiku\Desktop\微信图片_20200911142311.jpg

03

—

启动项

注册表:

单击【开始】->【运行】,输入regedit

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

系统配置:

单击【开始】->【运行】,输入msconfig,查看是否存在命名异常的启动项目,是则取消勾选命名异常的启动项目,并到命令中显示的路径删除文件。

C:\Users\haiku\Desktop\微信图片_20200911142416.jpg

本地组策略:

单击【开始】->【运行】,输入gpedit.msc,选择计算机配置->Windows设置->脚本(启动、关机)

C:\Users\haiku\Desktop\微信图片_20200911142529.jpg

开始菜单:

C:\Documents andSettings\${user}\开始\程序\启动

04

—

计划任务

(1) 任务计划程序

单击【开始】->【运行】,输入 taskschd.msc

C:\Users\haiku\Desktop\微信图片_20200911142640.jpg

(2) at命令

Win7之前可以使用at

添加任务 at  23:00 notepad.exe

当前任务列表 at

查看任务详细信息 at id

删除任务  at id /del /yes

C:\Users\haiku\Desktop\微信图片_20200911142731.jpg

C:\Users\haiku\Desktop\微信图片_20200911142837.jpg

Win10上不支持at

C:\Users\haiku\Desktop\微信图片_20200911142930.jpg

可以在任务计划程序中看到计划任务执行日志

C:\Users\haiku\Desktop\微信图片_20200911143030.jpg

C:\Users\haiku\Desktop\微信图片_20200911143034.jpg

(3)schtasks

参数列表:

    /Create         创建新计划任务。

    /Delete         删除计划任务。

    /Query          显示所有计划任务。

    /Change         更改计划任务属性。

    /Run            按需运行计划任务。

    /End            中止当前正在运行的计划任务。

    /ShowSid        显示与计划的任务名称相应的安全标识符。

/?              显示此帮助消息。

/TN 计划任务名称

/SC 执行周期MINUTE:  1 到 1439 分钟。HOURLY:  1 - 23 小时。DAILY:   1 到 365 天。WEEKLY:  1 到 52 周。

/ST  指定运行任务的开始时间

/TR  指定运行程序的路径

创建任务

Schtasks /Create /TNTest  /SC HOURLY /ST 01:02 /TRnotepad.exe

C:\Users\haiku\Desktop\微信图片_20200911143208.jpg

删除任务

Schtasks /Delete /TNTest

C:\Users\haiku\Desktop\微信图片_20200911143248.jpg

05

—

服务

单击【开始】-【运行】,输入Services.msc

C:\Users\haiku\Desktop\微信图片_20200911143408.jpg

06

—

驱动

注册表路径

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services,

系统文件路径

C:\Windows\System32\drivers

C:\Users\haiku\Desktop\微信图片_20200911143458.png

start字段这些数字分别表示服务启动的类型

0 引导

1 系统

2 自动

3 手动

4 禁用

07

—

网络连接

执行命令 netstat -ano

C:\Users\haiku\Desktop\微信图片_20200911143608.png

工具:

Tcpview

C:\Users\haiku\Desktop\微信图片_20200911143712.jpg


08

—

防火墙策略

排查点:防火墙放行端口和应用程序。

查看防火墙策略

netsh firewall showconfig

也可以到控制面板->系统和安全->Windows Defender 防火墙 -> 高级设置查看入站和出站规则

C:\Users\haiku\Desktop\微信图片_20200911143816.jpg

查看防火墙放行的程序

netsh firewall showallowedprogram

查看防火墙放行端口

netsh firewall showportopening

标签: 暂无
最后更新:2020年9月11日

powertimeauthorhgq

这个人很懒,什么都没留下

点赞
< 上一篇
下一篇 >

COPYRIGHT © 2022 时代新威网络安全实验室. ALL RIGHTS RESERVED.

Theme Kratos Made By Seaton Jiang