Windows分析排查

Windows分析排查

1. 分析排查是指对Windows系统中的文件、进程、信息系统、日志信息等进行检测，挖掘Windows系统中受否具有异常情况。

2. 文件分析---开机启动文件

   一般情况下，各种木马、病毒等恶意程序，都会在计算机开机启动过程中自启动。

​ 2.1 利用操作系统中的启动菜单

​ C:\Users\administrator\appdata\rroaming\microsoft\windows\start menu\Programs\Startup

​ 2.2 利用系统配置msconfig

​ 2.3 利用注册表regedit

​ HKEY_CURRENG_USERS/software/Microsoft/windows/currentVersion/run

3. 文件分析---temp临时异常文件

   3.1 temp(临时文件夹)，位于C:\Documents and Settings\Administrator\Local Settings\内。很多临时文件放在这里，用来收藏夹，浏览网页的临时文件，编辑文件等。(Win10临时文件夹处于C:\Users\用户\AppData\Local\Temp)

   3.2 使用运行 输入%temp%可以直接打开temp文件夹

   3.3 查看temp文件夹发现PE文件(exe、dll、sys)，或者是否具有特别大的tmp文件。

4. 文件分析---浏览器信息分析

   在被黑客拿下的服务器，很有可能会使用浏览器进行网站的访问。因此我们可以查看浏览器记录查看，搜素浏览器是否被使用下载恶意代码。

   ​ 4.1 浏览器浏览痕迹查看

   ​ 4.2 浏览器文件下载记录查看

   ​ 4.3 浏览器Cookie信息查看

5. 文件分析---文件时间属性分析

   5.1 在Windows系统下，文件属性的时间属性具有：创建时间、修改时间、访问时间。默认情况下，计算机是以修改时间作为展示。

   5.2 如果修改时间要早于创建时间那么这个文件存在很大可疑！使用中国菜刀等工具修改的 修改时间，通过文件属性可以查看到创建时间、修改时间、访问时间。

6. 文件分析---最近打开文件分析

   6.1 Windows系统中默认记录系统中最近打开使用的文件信息。可以在目录C:\user\用户Recert #有问题

7. 进程分析---可疑进程发现与关闭

   7.1 计算机与外部网络通信是建立在TCP或UDP协议上的，并且每一次通信都是具有不同的端口(0-65535)。如果计算机被中木马后，肯定会与外部网络通信，那么此时就可以通过查看网络连接状态，找到对应的进程ID，然后关闭进程ID就可以关闭连接状态。

   ​ 7.1.1 Netstat -ano | find “ESTABLISHIED” 查看网络建立连接状态 (可以端口的程序)

   ​ 7.1.2 Tasklist /svc | find “PID” 查看具体PID进程对应的程序

   ​ 7.1.3 Taskkill /PID /T 关闭进程