Redian新闻
>
windows应急响应

windows应急响应

科技



windos分析排查-文件分析

分析排查介绍

分析排查是指对windows系统中的文件、进程、系统信息、日志记录等进行检查。查看windows系统中是否有运行异常的情况。主要目的在于保护windows系统的安全。

0x01 开机启动文件

一般情况下,被植入的木马病毒、恶意文件恶意程序等都会在计算机启动时自启动运行。

在windows中可通过以下三种方式查看开机启动项:

1.利用操作系统中的启动菜单

C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup

2.利用系统配置msconfig

3.利用注册表regedit

计算机\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

计算机\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run

0x02 temp临时异常文件

temp临时文件夹,位于C:\Document and Settings\Administrator\Local Settings\内。很多文件放在这里,用来收藏夹,浏览网页的临时文件,编辑文件等。

在运行输入%temp%可直接打开temp文件夹。

排查对象:查看temp文件夹PE文件(exe、dll、sys),或者是否具有特别大的tmp文件。

相关可疑文件可上传到云沙箱进行在线分析。

https://www.virustotal.com/gui/home/upload

https://x.threatbook.com/

https://ti.360.cn/#/homepage

为什么要排查Temp文件夹?

使用Temp文件夹有几个优点。在某些系统中,Temp文件夹位于RAM DISK上。与通常的磁盘文件系统相比,写入操作和文件操作要快的很多。

另一个优点是Temp文件夹对当前登录的用户具有读写访问权限,从而解决了恶意软件安装程序在没有适当权限的情况下尝试将恶意软件安装在目标位置时出现的任何文件系统权限错误。一旦恶意软件安装程序或恶意软件本身具有升级的特权,Temp文件夹通常用作暂存点。

操作系统还具有清理Temp文件夹中临时文件的不完整写入的优点,因此在恶意软件安装失败的情况下,操作系统负责删除文件的任何痕迹,从而防止恶意软件的任何部分或版本损坏它的主要可执行文件。所以恶意软件安装程序通常在恶意软件感染期间利用TMP文件和Windows Temp文件夹。

0x03 浏览器分析

服务器被攻击者拿下后,攻击者可能会使用服务器的浏览器进行访问网站,进行一系列下载操作。因此我们可以查看浏览器记录,排查浏览器是否被使用下载恶意代码。

1.浏览器浏览痕迹查看

2.浏览器文件下载记录查看

3.浏览器cookie信息查看

浏览器记录查看工具:https://launcher.nirsoft.net/downloads/index.html

0x04 文件时间属性分析

在windows系统下,文件属性的时间属性具有:创建时间、修改时间、访问时间。默认系统以修改时间作为展示。

如果文件的修改时间早于创建时间这个文件存在可疑,异常的时间很有可能是攻击者进行恶意修改的不正常文件。

0x05 最近打开文件

Windows系统中默认记录系统中最近打开使用的文件信息。

可以在目录C:\Documents and Settings\Administrator\Recent下查看

也可以使用Win+R打开运行后输入%UserProfile%\Recent查看。然后利用Windows中的筛选条件查看具体时间范围的文件。

0x06 可疑进程发现与关闭

计算机与外部忘了通信是建立在TCP/UDP协议上的,并且每一次通信都是具有不同的端口(0-65535)。在计算机中木马病毒后,木马运行会与外部忘了进行通信,那么就可以通过查看忘了连接状态,找到对应的进程ID,然后关闭进程ID进行断开木马的通信连接。

使用如下相关命令进行排查:

netstat -ano | find "ESTABLISHED"  查看网络建立连接的状态
tasklist /svc | find "PID" 查看具体PID进程对应的程序
taskkill /PID xxx /T 关闭进程

Windows分析排查-系统信息排查

0x01 异常计划任务排查

在计算机中可以通过设定计划任务,在固定时间执行固定操作。一般情况下,攻击者设定计划任务在固定时间设置执行恶意代码,以达到隐蔽实现攻击的效果。

在使用schtasks命令可以对计划任务进行管理,直接输入schtasks可以查看当前计算机中保存的计划任务。

使用任务管理器查看当前计算机中的计划任务,在开始菜单找到“计划任务程序”进行打开。

通过对相关的可疑计划任务进行排查,如发现相关运行程序可疑时,可根据文件路径找到程序使用云沙箱进行在线分析。

https://www.virustotal.com/gui/home/upload

https://x.threatbook.com/

https://ti.360.cn/#/homepage

0x02 隐藏账户发现与删除

隐藏账户是指攻击者入侵服务器后威朗能够持久保持对计算机的访问,在计算机系统中建立的不易被发现的计算机账户。

隐藏账户建立命令:

net user test$ test /add && net localgroup administrator test$ /add其中$符号可以导致系统管理员在使用net user时无法查看到test$用户。

检查注册表计算机\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names中是否有隐藏的账户,通过注册表进行建立的隐藏账户无法在计算机管理中进行查看,隐蔽性极高。在排查隐藏账户时可进行查看是否有相关可疑账户。发现确认可疑账户可右击进行删除。

0x03 恶意进程发现与关闭

恶意代码在windows系统中运行过程中,将以进程的方式进行展示。其中恶意进程执行这各种恶意行为。对于可执行程序,可能直接使用杀毒软件进行查杀,但是并非所有的恶意程序都能被查杀。也可手动进行查杀,使用工具psexplore,然后利用在线云沙箱等进行检测分析。对恶意程序相关服务进行关闭。

0x04 补丁查看与更新

windows系统支持补丁以修复漏洞。可以使用systeminfo查看系统信息,并展示对应的系统补丁信息编号。也可以在卸载软件中查看系统补丁和第三方软件补丁。

在win10中使用快捷键win+i,然后选择Windows更新。他版本的Windows也具有Windows Update相关选项,可以进行更新操作。

往期推荐

敏感信息泄露

潮影在线免杀平台上线了

自动化渗透测试工具开发实践

【红蓝对抗】利用CS进行内网横向

一个Go版(更强大)的TideFinger

SRC资产导航监测平台Tsrc上线了

新潮信息-Tide安全团队2022年度总结

记一次实战攻防(打点-Edr-内网-横向-Vcenter)

E

N

D


知识星球产品及服务

团队内部平台:潮汐在线指纹识别平台 | 潮听漏洞情报平台 | 潮巡资产管理与威胁监测平台 | 潮汐网络空间资产测绘 | 潮声漏洞检测平台 | 在线免杀平台 | CTF练习平台 | 物联网固件检测平台 | SRC资产监控平台  | ......


星球分享方向:Web安全 | 红蓝对抗 | 移动安全 | 应急响应 | 工控安全 | 物联网安全 | 密码学 | 人工智能 | ctf 等方面的沟通及分享


星球知识wiki:红蓝对抗 | 漏洞武器库 | 远控免杀 | 移动安全 | 物联网安全 | 代码审计 | CTF | 工控安全 | 应急响应 | 人工智能 | 密码学 | CobaltStrike | 安全测试用例 | ......


星球网盘资料:安全法律法规 | 安全认证资料 | 代码审计 | 渗透安全工具 | 工控安全工具 | 移动安全工具 | 物联网安全 | 其它安全文库合辑  | ......

扫码加入一起学习吧~

微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
读水沫的小说《苏月的婚姻路》翻墙的“爱国者”Git 2.40 发布,包括 git jump 工具的更新、cat-file 工具的增强以及提高 Windows 上响应速度Deepin V23上线新功能:实现与 Windows 系统跨端协同硬核观察 #969 Windows 上 Firefox CPU 占用的锅终于被摘了今日最佳:Windows XP错误窗口。使用 Linux 15 年后,我重新回到 Windows,感觉非常糟糕Windows Defender的一些渗透知识完整指南:使用 VirtualBox 在 Windows 上安装 Ubuntu | Linux 中国三星酒店将成应急响应和救济中心 长岛市居民担心治安进一步恶化突发!龙卷风造访奥克兰,东区有屋顶被掀翻!汽车“起飞”,救援人员紧急响应!多图来了...Agustín Hernández:中美洲建筑背景下的未来主义巨构聊一款能玩3A大作的Windows掌机Windows 11 全解读,发布两年半后的今天,它值得升级丨有用功国产内存,成了压倒“游戏版”Windows的最后一根稻草。硬核观察 #956 Windows 11 给开始菜单加入广告一文了解网络操作系统,除了Windows、Linux,还有你没听过的!天赋“易昺(bǐng)”,创造历史!国家防总启动防汛四级应急响应;工信部批复5G地空通信试验频率丨科技早新闻Windows 11 发布重大更新:ChatGPT 版 Bing 集成到任务栏中,可快速访问 AI 聊天功能在任务栏开始与ChatGPT版必应聊天,Windows 11发布重大更新微软 Windows 系统开发生变,Win10 渐成弃儿 Win12 呼之欲出邱开冒:王婆、武大郎、高衙内锵锵三人行微软Edge 109发布,内置文本预测、即将停止支持Windows 7/8打过码的图片等于没打,用Windows的要小心了。【波士顿精品门户社区】【本科友好】【South End/Chinatown/Downtown】【$3195】【现房+9/1排位】Intel 推出的这款应用,让 iPhone 终于能连 Windows 了!硬核观察 #938 勒索软件正在从 Windows 转向 Linux微软整活!最强AI要用到Windows上?如何在Windows 10中截屏EverythingToolbar 1.0发布,支持Windows 11华南连遭强降雨侵袭!防汛四级应急响应启动新Windows QQ即将公测;小米:紫米旗舰店非合作店铺;魅族20系列还有一新品军旅故事原创系列(27)出糗的紧急集合聘书,证书。
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。