Part1前期交互
这个阶段主要是先找客户了解主机的基本情况。如:
主机是否存在弱口令 主机是否对外网接通 什么时候发现电脑被入侵,网络攻击的事件类型。 主机日常是否有人进行维护 主机是作为客户机还是服务器
客户机:最近有没有点一些恶意链接,或收到钓鱼邮件 服务器:主机开放了什么服务,日常扮演的角色。
当我们对这台主机了解的越多,我们就越能有一个明确的排查思路,工作就会比较流畅。
Part2主机排查
1查看这台主机的操作系统信息。
1、开始-》运行-》cmd-》systeminfo
2、开始-》运行-》appwiz.cpl-》已安装更新
从中查找这台主机的系统版本和所安装的补丁,判断是否有漏装的补丁。如:代号为KB4012212,KB4012215的补丁是微软针对Windows server 2008R2发布的永恒之蓝漏洞补丁。
2查看开放端口
1、开始-》运行-》cmd-》netstat -ano
注意开放的可疑端口,如果主机未进行断网,则可能还在进行外连,这时需要重点注意ESTABLISHED。
如果有些开放的端口你不太清楚干什么用的,可以在C:\Windows\System32\drivers\etc\service查看
当你发现某个端口不正常的时候,可以输入tasklist | findstr 'pid'进行进程查看。
3查看运行的进程
1、开始-》运行-》cmd-》tasklist
2、开始-》运行-》cmd-》wmic process
3、查看某个进程的详情信息 开始-》运行-》cmd-》wmic process where name='进程名' list full
4、任务管理器-》详细信息
5、查看进程运行的位置
观察可疑进程主要观察。
没有签名验证信息的进程 没有描述信息的进程 进程的属主 进程的路径是否合法 CPU或内存资源占用长时间过高的进程
4日志分析
1、开始-》运行-》eventvwr.exe
主要看应用安全和系统
可根据时间和关键字进行筛选
重要的事件 ID(安全日志,Security.evtx)
4624:账户成功登录
4648:使用明文凭证尝试登录
4778:重新连接到一台 Windows 主机的会话
4779:断开到一台 Windows 主机的会话
5查看用户
1、开始-》运行-》lusrmgr.msc
2、开始-》运行-》cmd-》net user
3、去C:\Users查看是否有多出的家目录
4、开始-》运行-》cmd-》query user。查看现在在线的用户
5、开始-》运行-》cmd-》net user 用户名 查看用户名上次登录时间
注意是否存在异常用户,或者隐藏用户,克隆用户, 打开lusrmgr.msc用户,用户名后面如果有$则是隐藏用户。可以结合日志,查看用户的异常登录时间
6查看开机启动
1、任务管理器-》启动
2、设置-》应用-》启动
3、开始-》所有程序-》启动
4、开始-》运行-》msinfo32-》软件环境-》启动程序
5、检查注册表
HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
7查看计划任务
1、开始-》运行-〉taskschd.msc
2、开始-》运行-〉cmd-》at或者schtasks.exe。
8如果存在445端口查看文件共享
开始-》运行-》cmd-》net share
9查看服务
开始-》运行-》services.msc
查看是否存在可疑的自启服务
10敏感目录排查
%WINDIR% %TEMP% %UserProfile%\Recen 最近打开的文件 %LOCALAPPDATA% %APPDATA% 各盘下的tmp缓存目录,例如C:\Windows\Temp
11组策略排查
开始-》运行-》gpedit.msc
12中间件日志分析
关于服务器上的中间件,就去存放日志的地方进行分析。
Part3工具篇
13病毒分析
PCHunter:http://www.xuetr.com
火绒剑:https://www.huorong.cn
Process Explorer:https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer
processhacker:https://processhacker.sourceforge.io/downloads.php
autoruns:https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns
OTL:https://www.bleepingcomputer.com/download/otl/
SysInspector:http://download.eset.com.cn/download/detail/?product=sysinspector
14病毒查杀
卡巴斯基:http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe
大蜘蛛:http://free.drweb.ru/download+cureit+free
火绒安全软件:https://www.huorong.cn
360杀毒:http://sd.360.cn/download_center.html
15病毒动态
CVERC-国家计算机病毒应急处理中心:http://www.cverc.org.cn
微步在线威胁情报社区:https://x.threatbook.cn
火绒安全论坛:http://bbs.huorong.cn/forum-59-1.html
16在线病毒扫描网站
多引擎在线病毒扫描网:http://www.virscan.org
腾讯哈勃分析系统:https://habo.qq.com
Jotti恶意软件扫描系统:https://virusscan.jotti.org
针对计算机病毒、手机病毒、可疑文件等进行检测分析:http://www.scanvir.com
17webshell查杀
D盾_Web查杀:http://www.d99net.net/index.asp
河马webshell查杀:http://www.shellpub.com
深信服Webshell网站后门检测工具:http://edr.sangfor.com.cn/backdoor_detection.html
18在线沙箱分析
360安全大脑沙箱云:https://ata.360.net/dashboard
微步云沙箱:https://s.threatbook.cn/
魔盾安全分析:https://www.maldun.com/submit/submit_file/
以上就是windows应急响应排查的全内容,如有不足之处,请大佬点出。
Potato
专注渗透测试技术
全球最新网络攻击技术
Part1前期交互
这个阶段主要是先找客户了解主机的基本情况。如:
主机是否存在弱口令 主机是否对外网接通 什么时候发现电脑被入侵,网络攻击的事件类型。 主机日常是否有人进行维护 主机是作为客户机还是服务器 客户机:最近有没有点一些恶意链接,或收到钓鱼邮件 服务器:主机开放了什么服务,日常扮演的角色。
当我们对这台主机了解的越多,我们就越能有一个明确的排查思路,工作就会比较流畅。
Part2主机排查
1查看这台主机的操作系统信息。
1、开始-》运行-》cmd-》systeminfo
2、开始-》运行-》appwiz.cpl-》已安装更新
从中查找这台主机的系统版本和所安装的补丁,判断是否有漏装的补丁。如:代号为KB4012212,KB4012215的补丁是微软针对Windows server 2008R2发布的永恒之蓝漏洞补丁。
2查看开放端口
1、开始-》运行-》cmd-》netstat -ano
注意开放的可疑端口,如果主机未进行断网,则可能还在进行外连,这时需要重点注意ESTABLISHED。
如果有些开放的端口你不太清楚干什么用的,可以在C:\Windows\System32\drivers\etc\service查看
当你发现某个端口不正常的时候,可以输入tasklist | findstr 'pid'进行进程查看。
3查看运行的进程
1、开始-》运行-》cmd-》tasklist
2、开始-》运行-》cmd-》wmic process
3、查看某个进程的详情信息 开始-》运行-》cmd-》wmic process where name='进程名' list full
4、任务管理器-》详细信息
5、查看进程运行的位置
观察可疑进程主要观察。 没有签名验证信息的进程 没有描述信息的进程 进程的属主 进程的路径是否合法 CPU或内存资源占用长时间过高的进程
4日志分析
1、开始-》运行-》eventvwr.exe
主要看应用安全和系统
可根据时间和关键字进行筛选
重要的事件 ID(安全日志,Security.evtx)
4624:账户成功登录
4648:使用明文凭证尝试登录
4778:重新连接到一台 Windows 主机的会话
4779:断开到一台 Windows 主机的会话
5查看用户
1、开始-》运行-》lusrmgr.msc
2、开始-》运行-》cmd-》net user
3、去C:\Users查看是否有多出的家目录
4、开始-》运行-》cmd-》query user。查看现在在线的用户
5、开始-》运行-》cmd-》net user 用户名 查看用户名上次登录时间
注意是否存在异常用户,或者隐藏用户,克隆用户, 打开lusrmgr.msc用户,用户名后面如果有$则是隐藏用户。可以结合日志,查看用户的异常登录时间
6查看开机启动
1、任务管理器-》启动
2、设置-》应用-》启动
3、开始-》所有程序-》启动
4、开始-》运行-》msinfo32-》软件环境-》启动程序
5、检查注册表
HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
7查看计划任务
1、开始-》运行-〉taskschd.msc
2、开始-》运行-〉cmd-》at或者schtasks.exe。
8如果存在445端口查看文件共享
开始-》运行-》cmd-》net share
9查看服务
开始-》运行-》services.msc
查看是否存在可疑的自启服务
10敏感目录排查
%WINDIR% %TEMP% %UserProfile%\Recen 最近打开的文件 %LOCALAPPDATA% %APPDATA% 各盘下的tmp缓存目录,例如C:\Windows\Temp
11组策略排查
开始-》运行-》gpedit.msc
12中间件日志分析
关于服务器上的中间件,就去存放日志的地方进行分析。
Part3工具篇
13病毒分析
PCHunter:http://www.xuetr.com
火绒剑:https://www.huorong.cn
Process Explorer:https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer
processhacker:https://processhacker.sourceforge.io/downloads.php
autoruns:https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns
OTL:https://www.bleepingcomputer.com/download/otl/
SysInspector:http://download.eset.com.cn/download/detail/?product=sysinspector
14病毒查杀
卡巴斯基:http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe
大蜘蛛:http://free.drweb.ru/download+cureit+free
火绒安全软件:https://www.huorong.cn
360杀毒:http://sd.360.cn/download_center.html
15病毒动态
CVERC-国家计算机病毒应急处理中心:http://www.cverc.org.cn
微步在线威胁情报社区:https://x.threatbook.cn
火绒安全论坛:http://bbs.huorong.cn/forum-59-1.html
16在线病毒扫描网站
多引擎在线病毒扫描网:http://www.virscan.org
腾讯哈勃分析系统:https://habo.qq.com
Jotti恶意软件扫描系统:https://virusscan.jotti.org
针对计算机病毒、手机病毒、可疑文件等进行检测分析:http://www.scanvir.com
17webshell查杀
D盾_Web查杀:http://www.d99net.net/index.asp
河马webshell查杀:http://www.shellpub.com
深信服Webshell网站后门检测工具:http://edr.sangfor.com.cn/backdoor_detection.html
18在线沙箱分析
360安全大脑沙箱云:https://ata.360.net/dashboard
微步云沙箱:https://s.threatbook.cn/
魔盾安全分析:https://www.maldun.com/submit/submit_file/
以上就是windows应急响应排查的全内容,如有不足之处,请大佬点出。
支付宝打赏
微信打赏
京公网安备 11010802038872号