蓝队应急响应姿势之windows

题记

    整理一下系统清除木马的过程，看情况吧，没准先去护网了。学习防守姿势其实也对攻击有一定帮助，当我们攻击时可以思考对面是怎样防守的，然后进行一些姿势的绕过，这篇是windows的总结，下篇是linux总结。

Windows分析排查

    参考视频地址：http://bilibili.com/video/BV1Hy4y1a7ZY?p=24

    穷孩子们快点看，没准回头又没了，现在网安找点资源可不容易，容易号没了。

一 文件分析-开机启动文件

    1、利用操作系统中启动菜单

    2、利用系统配置msconfig

    3、利用注册表regedit

    如果隐藏起来显示隐藏文件查找。

二 文件分析-temp临时异常文件

    运行中输入%temp%直接打开temp文件夹。

    1、Temp文件夹有读写访问权限。

    2、查看是否有PE文件（exe、dll、sys），或者特别大的tmp文件。

    3、上传沙盒看看是否是恶意代码。

三 文件分析-浏览器信息分析

    黑客拿下服务器后，很可能查看浏览器网页访问。

    1、浏览器浏览记录查看。

    2、浏览器下载记录查看。

    3、浏览器cookie查看。

    可利用工具更美观的查看记录。

四 文件分析-文件时间属性分析

    如果一个文件的修改时间早于创建时间，那么它很可以，很可能被故意篡改过。因为菜刀可以改时间进行迷惑。

五 文件分析-最近打开文件分析

    运行里输入%UserProfile%\Recent查看，然后筛选条件查看具体时间范围的文件。

六 进程分析-可疑进程发现与关闭

    计算机中木马后，肯定会和外部通信，此时可以查看网络连接状态找到对应的进程ID，然后关闭进程ID就可以关闭连接状态。

七 系统信息-windows计划任务

    恶意代码有可能在固定时间设置执行。可以使用at命令对计划任务进行管理。

    Win10不是at，是schtasks。

八 系统信息-隐藏账号发现与删除

    加$符号的用户是不能在net user中看到的，例如test$。我在博客中也整理过影子账户的方法。

    博客地址：http://cnblogs.com/sunny11/p/14379051.html

    普通的加用户可以在用户和组里面看到。

    隐蔽的影子账户可以在注册表里Sam里看到。

九 恶意进程-发现与关闭

    恶意代码在windows系统运行过程中将以进程的方式进行展示。有的可以被杀毒软件查杀，有的只能手动查杀。使用工具，然后分析，分析后如果是恶意程序关闭就好了。

十 系统信息-补丁查看与更新

    Systeminfo可以查看系统信息并展示系统补丁信息。

十一 webshell查杀

    D盾查杀（不过大佬们的马肯定都是免杀的，对付小白还行）。

十二 windows日志分析基础介绍

    1、Windows审核策略设置。

    2、windows系统日志查看方式。

    3、windows日志筛选。