3.windows分析排查

0x01. 环境准备

安装一个windows server 2008 R2 虚拟机 , 至少 2+40 , 选择Enterprise(完全安装) , 然后点击自定义 , 下一步

image-20210327101317473

调出桌面图标 , 在搜索中输入图标/icon

image-20210327104954366

安装vmtools , 关机做快照

0x02. 文件分析

2.1 分析排查介绍

所谓的windows分析排查就是指针对windows系统中的文件、进程、系统信息、日志记录等进行检测,挖掘windows系统中是否存在异常情况

目的 : 保护Windows系统安全

2.2 文件分析-开机启动文件

一般情况下,各种木马病毒等恶意程序,都会在计算机开机启动的过程中自启动

在windows系统中可以通过以下三种方式查看开机启动项

  1. 利用操作系统中的启动菜单

    C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
                  当前用户名

    image-20210327105534141

    快捷方式 : 开始 --> 启动 --> 浏览

    image-20210327105854310

  2. 利用系统配置msconfig ms代表微软 , config是配置

    image-20210327105655156

  3. 利用注册表regedit

    计算机\HKEY_LDCAL_MACHLNE\SOFTHARE\Microsoft\Windows\CurrentVersion\Run
计算机\HKEY_CURRENT_USER\SOFTHARE\Microsoft\Windows\CurrentVersion\Run

这个两个都可以添加开机启动文件

    其中在注册表中新建启动文件,在msconfig中是可以看到的,但是在启动文件夹中不显示的

实验 : 扔一个cs木马试试是否开机自启

2.3 文件分析-temp临时异常文件

temp(临时文件夹) , 位于C:\Users\ADMINI~1\AppData\Local\Temp内。很多临时文件放在这里,用于收藏夹,浏览网页的临时文件,编辑文件等 , \ADMINI~1是win的一种缩写表示 , 全称 ADMINISTRATOR

win + r 输入 : %temp%即可打开temp文件夹

查看temp文件夹发现PE文件( exe , dll , sys ) , 或者是否具有特别大的tmp文件

PE文件指的是在windows操作系统中可以执行的文件,不仅仅只有exe文件

为什么temp文件夹是黑客可能攻击的文件夹呢?

temp文件夹的特殊
1.Temp文件夹位于RAMDISK上。与通常的磁盘文件系统相比,这使写入操作和文件操作快得多。
2.Temp文件夹对当前登录用户具有读写访问权限,即完全控制权限
所以恶意程序在传播的时候向temp文件夹中是一定可以写入的

可疑文件的在线查杀

https://www.virustotal.com/     国外网站
https://www.virscan.org/          国内网站

2.4 文件分析-浏览器信息分析

在被黑客拿下的服务器 , 很有可能会使用浏览器进行网站的访问。因此我们可以查看浏览器记录 , 探索浏览器是否被使用下载恶意代码

浏览器浏览痕迹查看 , 黑客可能浏览器了某些页面

IE浏览器 工具-->浏览器栏-->历史记录

image-20210327143617452

实际上服务器是用来提供服务的,所以你打开浏览器会有一个安全提示

浏览器文件下载记录查看 , 黑客很有可能通过浏览器下载一些自己恶意文件

浏览器Cookie信息查看 , 这个也很关键

工具下载地址 :

https://download.nirsoft.net/nirsoft_package_enc_1.23.17.zip

2.5 文件分析-文件时间属性分析

在windows系统下 , 文件属性的时间属性具有: 创建时间 , 修改时间 , 访问时间 ( 默认情况下禁用 )

默认情况下 , 计算机是以修改时间作为展示的

image-20210327153852369

点击文件 , 右键属性

image-20210327153922096

如果修改时间要早于创建时间那么这个文件存在很大可疑??? 使用中国菜刀等工具修改的修改时间

通过文件属性可以查看到创建时间 , 修改时间 , 以及访问时间

小实验 : 菜刀修改文件的修改时间

在搭建好的网站上上传一个1.asp一句话木马

image-20210327154746549

打开菜刀连接一句话木马

image-20210327154812674

修改文件的修改时间

image-20210327155112116

在虚拟机上查看文件的时间属性 , 我的尽然没修改成功 , 有点奇怪

image-20210327155502324

2.6 文件分析-最近打开文件分析

Windows系统中默认记录系统中最近打开使用的文件信息

可以在目录 C:\Users\Administrator\Recent下查看,也可以使用 win + r 打开运行输入%UserProfile%\Recent查看 , 然后利用windows中的筛选条件查看 具体的时间范围的文件

image-20210327161413055

使用命令查看最近打开文件内容中是否有eval这样的关键字

find /?    查看find这个命令的帮助信息

image-20210327161711724

find /C /N /I "eval" C:\inetpub\wwwroot\XYCMS\1.asp

image-20210327161843649

存在的话就显示1 , 不存在就显示0 , 感觉有点鸡肋 不如用工具打开 搜索

0x03. 进程分析

3.1 进程分析-可疑进程发现和关闭

计算机与外部网络通信是建立在TCP或UDP协议上的 , 并且每一次通信都是具有不同的端口 ( 0-66535 ) , 如果计算机被木马后 , 肯定会与外部网络通信 , 那么此时就可以通过网络连接状态, 找到对应的进程ID , 然后关闭进程ID就可以关闭连接状态

netstat -ano

image-20210327164559432

netstat -ano | find "ESTABLISHED"      查看网路建立连接状态              ( 区分大小写 )tasklist /svc | find "PID"                        查看具体PID进程对应的程序taskkill /PID pid值 /T  /F                        强制关闭进程及其开启的子进程

关于tcp连接状态介绍

LISTENING : 表示处于监听状态,就是说该端口是开放的,等待连接,但还没有被连接ESTABLISHED : 表示已经建立连接,表面两台机器正在通信FIN_WAIT_1 : 表示服务器端主动请求关闭TCP连接,并且主动发送FIN之后,等待客户端回复ACK的状态。FIN_WAIT_2 : 表示客户端主动请求关闭TCP连接,并且主动发送FIN之后,等待服务器端回复ACK的状态。TIME_WAIT  : 表示结束了这次连接,说明曾经访问过,但是现在访问结束了CLOSING:等待远程TCP对连接中断的确认CLOSED:没有任何连接状态

实验 : 用kali中的msf , 通过ms17010建立与win2k8的会话连接

image-20210327170931999

win2k8查看端口连接

netstat -ano | find "ESTABLISHED"

image-20210327171022426

4444端口很可疑 , 找到pid为956对应的进程程序

tasklist /svc | find "956"

image-20210327171200745

命令强制关闭进程或者应用管理器中停掉

taskkill /PID 956 /T /F

image-20210327171325102

查看kali里面的session会话 , 已关闭 , 此时黑客就无法继续控制我们的电脑了

image-20210327171354352

这里是命令查看 , 但是一般用工具比较快捷 , XueTr工具 , 找到异常的网络连接 , 查看进程并关闭 , 找到对应的程序 , 删除程序文件, 十分推荐

0x04. 系统分析

4.1 系统信息-windows计划任务

在计算机中可以通过设定计划任务 , 在固定时间执行固定的操作 , 一般情况下 , 恶意代码也有可能在固定的时间设置执行.

使用at命令可以对计划任务进行管理, 直接输入at可以查看当前计算机中保存的计划任务

image-20210327172217652

当然也可以在可视化的计划任务管理器中进行管理

开始-->管理工具-->计划任务程序

image-20210327173926855

4.2 系统信息-隐藏账号发现与删除

隐藏账号, 是指黑客入侵之后为了能够持久保持对计算机访问 , 而在计算机系统中建立的不轻易被发现的计算机账号,有人也称他们为"影子账号"

最为简单的隐藏账号的建立

net user test$ root.com123 /add && net localgroup administrators test$ /add其中$符号可以导致系统管理员在使用net user时 无法查看到test$用户

image-20210327175852442

但是在本地用户管理和组中能查看到

image-20210327180547800

还有一种更加隐藏的方式是通过注册表添加用户 , 注册表相当于一个数据库 , 保存着系统相关的信息

这样新建的隐藏用户在本地用户和组中是不显示的

1.使用新建一个隐藏账号

net user test$ root.com123 /add

2.再点“开始”→“运行”并输入"regedit.exe" 回车,启动注册表编辑器regedit.exe。 打开键:HKEY_LOCAL_MAICHINE\SAM\SAM\Domains\account\user\names\test$",默认是打不开的,需要修改权限

3.将项test$、000003ec、000001F4导出为test.reg、3ec.reg、1f4.reg,用记事本分别打这几个导出的文件进行编辑,将超级用户对应的项000001F4下的键"F"的值复制,并覆盖test$对应的项000003ec下的键"F"的值,然后再将000003ec.reg与test.reg合并到000003ec.reg

4.删除test$账号 net user test$ /del

5.把000003ec.reg导入到注册表中

6.在注册表窗口内把HKEY_LOCAL_MACHINE\SAM\SAM键权限改回原来的样子

至此隐藏超级账号就创建好了,实际上的原理就是通过注册表新建账号,绕过本地用户和组记录账号信息,但是我测试的不同两台机器同时登陆管理员账号会让另一个下线,所以不如直接新建添加到管理员,然后从注册表导出,删除账号,再导入注册表,ok

所以说要查是否有后门账号,直接去注册表中查,其他的都不准

4.3 系统信息-补丁查看与更新

windows系统支持补丁以修补漏洞。可以使用sysyteminfo查看系统信息,并展示对应的系统补丁信息编号。也可以在卸载软件中查看系统补丁和第三方软件补丁

image-20210327203946920

在win10中打开控制面板-->程序-->查看已安装的更新

image-20210327204736698

0x05. 网站webshell查杀

D盾_防火墙专为IIS设计的一个主动防御的保护软件, 以内外保护的方式, 防止网站和服务器给入侵, 在正常运行各类网站的情况下,越少的功能, 服务器越安全的理念而设计! 限制了常见的入侵方法, 让服务器更安全

image-20210327210550895

查杀到木马后直接右键打开文件的位置, 删除木马再次查杀直到无木马

除了asp的木马,php的木马D盾也可以查杀, 功能很强大还可以查看克隆账号等

0x06. windows日志分析

6.1 windows审核

开启审核策略, 若日后系统出现故障, 安全事故则可以查看系统的日志文件, 排除故障, 追查入侵者的信息等

win2k8: 开始->管理工具->本地安全策略->本地策略->审核策略

image-20210328212906052

Widows系统日志查看方式, 在windows系统中可以使用以下两种方法打开日志管理器查看系统日志

1.开始-->管理工具-->事件查看器2.win + r 打开运行, 输入"eventvwr.msc", 回车运行, 打开"事件查看器"

image-20210328213435997

windows系统日志筛选

在windows系统中日志

posted @ 2021-12-20 18:46  Mn猿  阅读(355)  评论(0编辑  收藏  举报