01、Windows 排查
Windows 分析排查
分析排查是指对 Windows 系统中的文件、进程、系统信息、日志记录等进行检测,挖掘 Windows 系统中是否具有异常情况
1.开机启动项检查
一般情况下,各种木马、病毒等恶意程序,都会在计算机开机启动过程中自启动
查看开机启动项:
1.利用操作系统中的启动菜单(注意有的是中文路径) C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Strat Menu\Programs\Startup 2.利用系统配置 msconfig 3.利用注册表 regedit HKEY_CURRENT_USERS/software/Microsoft/Windows/CurrentVersion/Run
如果在注册表中写了对应内容,在启动菜单中不会显示
2.temp 临时文件夹异常文件排查
temp:临时文件夹,位于 C:\Documents and Settings\Administrator\Local Settings\ 内,很多临时文件放在这里,用来收藏、浏览网页的临时文件、编辑文件等
打开 temp 文件:运行输入 %temp%
查看 temp 文件夹中是否有可疑文件: PE 文件(exe、dll、sys),或者是否具有特别大的 tmp 文件
将文件上传到 https://www.virustotal.com/ 进行查看,是否为恶意代码
使用 temp 文件夹的几个优点:
- 在某些系统中,temp 文件夹位于 RAMDISK 上,与通常的磁盘文件系统相比,使写入操作和文件操作快得多;
- temp 文件夹对当前登录的用户具有读写访问权限;
- 操作系统还具有清理 temp 文件夹中临时文件的不完整写入的优点。
3.浏览器信息记录
在对 Windows 系统进行排查分析时,可疑查看浏览器记录:
- 浏览器浏览痕迹查看
- 浏览器文件下载记录查看
- 浏览器 Cookie 信息查看
工具下载:https://launcher.nirsoft.net/downloads/index.html
4.文件时间属性分析
文件属性的时间属性:创建时间、修改时间、访问时间(默认情况下禁用),默认情况下,计算机是以修改时间作为展示
如果修改时间要早于创建时间,那么这个文件存在很大的可疑(在使用菜刀等工具对webshell文件的修改时间进行修改时,修改时间早于创建时间)
5.最近打开文件分析
- 可以在目录:C:\Documents and Settings\Administrator\Recent 下查看
- 运行:%UserProfile%\Recent 查看
然后利用 Windows 中筛选条件查看具体时间范围的文件
6.可疑进程发现与关闭
netstat -ano |find "ESTABLISHED":查看网络建立连接状态(一般 80、443 是正常的)
tasklist /svc |find "PID":查看具体 PID 进程对应的程序
taskkill /PID pid值 /T:关闭进程
7.Windows 计划任务
使用 at 命令(schtasks.exe)可疑对计划任务进行管理
可视化:控制面板->Windows 工具->任务计划程序
8.隐藏账号发现与删除
最为简单的隐藏账户建立:net user test$ 123456 /add && net localgroup administrators test$ /add(其中 $ 符号可以导致系统管理员在使用 net user 时,无法查看到 test$ 用户
在计算机管理中的本地用户和组中可以查看到
注册表:regedit
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names
排查是否有隐藏账户
9.恶意进程的发现与关闭
对于可执行程序,可以直接用杀软进行查杀,但并非所有的恶意程序都能够被查杀,此时可以进行手动查杀
使用工具:process explore,然后利用 virustotal.com 进行分析。对恶意程序相关的服务进行关闭
10.补丁查看与更新
查看系统信息:systeminfo(不包含第三方的补丁)
查看补丁:控制面板->程序和功能->查看已安装的更新(如果安装更新补丁后蓝屏等故障,使用PE工具卸载更新的补丁即可)
11.webshell 发现与查杀
D 盾:http://www.d99net.net/index.asp
河马 webshell 查杀:http://www.shellpub.com
深信服 webshell 网站后门检测工具:http://edr.sangfor.com.cn/backdoor_detection.html
safe3:http://www.uusec.com/webshell.zip