Windows应急响应-个人整理

news/2024/11/15 18:38:52/文章来源:https://www.cnblogs.com/daydaydream/p/18413099

Windows应急响应整理(一)

参考
1.NOPTeam的手册链接
2.fox-yu的博客(思路很清晰,对我这个小白来说很友好)

1.整体思路

1.1常见事件类型(不完整、待补充)

  • 网络协议攻击:
    • 拒绝服务攻击:DDos、CC攻击、泛洪攻击等。链接
    • DNS劫持
    • ARP欺骗
  • web入侵:
    • webshell
    • 网页挂马
    • 主页篡改
    • 邮件钓鱼
  • 系统入侵:
    • 远控后门
    • 病毒、木马、蠕虫
    • 勒索软件
    • 挖矿程序
  • APT攻击事件
  • 数据泄漏

1.2排查思路

  • 确认情况
    • 什么人,什么时间,通过什么方法(日志、系统占用异常、告警、文件)发现了什么情况,影响到什么范围,做了什么处置
    • 整体网络拓扑、安全设备部署情况、是否能提供相关日志记录、能否协调相关厂商进行协助
    • 整体资产信息、受影响资产信息、核心资产信息、涉及到的所有服务、开放的端口、有无弱口令
  • 先处理,再分析
    1. 网站下线(挂马、篡改)、断网隔离(病毒、远控)、流量清洗(Dos)、联系运营商(Dns劫持)
    2. 数据备份、样本保留、攻击画像、溯源取证

2.分析处理

2.1 准备工具

重点关注:网络连接、后台进程、启动项、注册表、内存、隐藏用户、特殊文件(创建、修改、访问时间)

  • 进程与网络连接排查工具
    OpenArk(自带工具源,可自定义工具库)
    image
    Procexp(可直接替换本机自带的进程资源管理器)
    火绒剑(新版本的火绒已删除该模块,也可以用PChunter替代)
    SystemInformer(ProcessHacker项目继承过来的)
    TCPview
    apateDNS(用于将dns解析转到指定ip,需要.net3.5环境)
    INetSim(kaili自带,用于模拟常见互联网服务,使用姿势)
  • 注册表比对工具
    Regshot(快速比对两个注册表的差异)
  • 日志查看工具
    fulleventlogview
    宝瓜windows日志分析工具
  • 启动项工具
    Autoruns
  • 在线沙箱与威胁IOC情报
    国内:各安全厂商的云沙箱、威胁情报网站、腾讯哈勃、阿里云沙箱等(个人常用还是微步);
    国外:链接
  • 病毒、木马、后门、webshell等查杀
    客户端:360、卡巴斯基、火绒、河马、牧云、D盾、WebShellkiller
    本地应急:360急救箱、安天、深信服等厂商离线扫描器、Dr.Web CureIt、Emsisoft

2.2常用命令

  1. win+r打开运行框后,Shift+Ctrl+Enter可以以管理员身份运行。
    2.将执行结果保存到指定文件并显示在屏幕上:
    [命令]>>[文件名或完整路径]|type[文件名或完整路径]
    示例:
    systeminfo>>C:\log.txt | Type C:\log.txt
  2. cmd清屏:cls

2.2.1系统排查

2.2.1-1系统基本信息
  • 系统基本信息:cmd命令systeminfo
  • win+r==>msinfo32
2.2.1-2用户信息/账号

隐藏账号:

  1. net user test$ 123 /add执行后即可创建一个net user命令查不出来的账号,但可被‘注册表’和‘本地用户和组’发现
  2. net localgroup user administrators test$ /add即可将其加入管理员组,拥有管理员权限
  3. 将注册表进行导出(所有字段,或仅导出\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users与test$有关键值)
  4. 执行net user test$ /del即可删除隐藏用户,删除后在将之前导出的注册表键值,导入回注册表,‘本地用户和组’中也无法看到隐藏用户信息了,使用test$登陆,将注册表权限变为其他用户不可修改,则可彻底隐藏。
  5. 也可直接复制administrator账户对应F值的方式,为test$账号获取管理员权限,而不是通过net命令赋予
  • query此为windows服务器上的命令,可查看用户名、会话名、状态、登录时间
query process 显示有关在远程桌面会话主机服务器上运行的进程的信息。
query session 显示远程桌面会话主机服务器上的会话的相关信息。
query termserver 显示网络上所有远程桌面会话主机服务器的列表。
query user 显示有关远程桌面会话主机服务器上的用户会话的信息。
  • whoami查看当前用户
  • net命令
    net user 查看所有账号(无法查看$用户)
    net user 账号名 查看该账号的信息
  • wmic命令(windows服务器上)
    wmic useraccount list full
  • powershell管理员模式下Get-LocalUser
  • 注册表查看(可比对用户数量看看有无隐藏用户):
    win+r==>regedit打开注册表
    ==>\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names

    若打开SAM文件时提示无权限,右键为用户添加配置读取权限

  • 本地用户和组查看
    win+r==>lusrmgr.msc(无法找到通过注册表方式创建的用户。详情)
  • 克隆账号排查
    系统用户信息的查询wmic useraccount get name,Sid
    若存在两个SID同样的用户说明存在克隆账号
2.2.1-3启动项
2.2.1-4计划任务
2.2.1-5其他信息

2.2.2进程排查

2.2.2-1任务管理器查看
2.2.2-2tasklist命令
2.2.2-3netstat命令
2.2.2-4powershell命令
2.2.2-5wmic命令查询

2.2.3服务排查

  • services.msc

2.2.4文件痕迹排查

2.2.4-1敏感目录
2.2.4-1.1各个盘下temp文件
2.2.4-1.2浏览器历史记录
2.2.4-1.3用户recent文件
2.2.4-1.4预读取文件
2.2.4-2时间点查看
2.2.4-2.1forfiles命令
2.2.4-2.2创建、修改、访问时间
2.2.4-2.3webshell

2.2.5日志分析

2.2.6内存分析

2.6.7流量分析

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/798143.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

视野修炼-技术周刊第101期 | 垂直居中

① align-content - 垂直居中普通元素 ② up mode - 一键隐藏 Chrome 插件 ③ Chrome 性能面板新功能 ④ k-colors.js - 图片主色提取 ⑤ 英:优化JS性能的一些技巧 ⑥ 英:Web 的剪贴板,如何存储不同类型的数据 ⑦ 英:不简单的 js 入门教程 ⑧ Peter Cat - GitHub 仓库智能答…

06: 抽象工厂模式

提供一个创建一系列相关或相互依赖对象的接口,而无需指定他们具体的类1. 案例 在Access和SQL server分别插入User表和Department表 2. 抽象工厂模式结构 - 抽象产品(AbstractProduct):所有产品的基类,提供产品类的公共方法struct User {std::string m_sName = "";…

南沙C++信奥老师解一本通题 1371:看病

​【题目描述】有个朋友在医院工作,想请BSNY帮忙做个登记系统。具体是这样的,最近来医院看病的人越来越多了,因此很多人要排队,只有当空闲时放一批病人看病。但医院的排队不同其他排队,因为多数情况下,需要病情严重的人优先看病,所以希望BSNY设计系统时,以病情的严重情…

堪称最优秀的 Docker 可视化管理工具 ——Portainer

Portainer 是一款轻量级的应用,它提供了图形化界面,用于方便地管理 Docker 环境,包括单机环境和集群环境。随着 Docker 内实例越来越多,就得涉及到监控以及统计的需求:有多少个容器?运行的有几个?有哪些容器 CPU 使用率低?... Portainer 是一款轻量级的应用,它提供了图…

分布式数据库中间件:MyCat 和 ShardingSphere

分布式数据库中间件 用于实现 分库、分表、分片、分布式事务、读写分离 等。 本文 是 调查 MyCat 和 ShardingSphere 两款 中间件 的一些信息汇总。本文时间:2024年9月。MyCat Mycat数据库分库分表中间件。ben发布于博客园 http://www.mycat.org.cn github-Mycat1 https://gi…

Python 遭遇 ProxyError 问题记录

本内容复制知乎的一个贴子,在此只做下记录及参考和学习,原链接地址: 最近遇到的一个问题,在搞清楚之后才发现这么多年的 HTTPS_PROXY 都配置错了! 起因 想用 Python 在网上下载一些图片素材,结果 requests 报 requests.exceptions.ProxyError,具体的错误信息见下面。当然…

白云龙期货投资-第二讲

K线图基本用途就是为了寻找“买卖点”,所有的进场点有K线配合能大大的提高进场的成功率。关键点位出现K线及组合配合。大胆进场(波浪理论第五浪。回调黄金分割率点,趋势线,颈线,整数关口等)。K线技术-一切技术之根本 K线图基本用途就是为了寻找“买卖点”,所有的进场点有K…

博客园主题皮肤

背景图:目前使用的是Awescnb主题的geek 参照:https://blog.csdn.net/zk_tww/article/details/141030258

用户验收测试指南0简介

0 简介 这是一本关于多种形式的用户验收测试(UAT)及其用途的。它汇集了有关测试、项目管理、质量管理、团队行为和完整的用户验收测试经验的其他相关材料,并将它们编织成一条牢固可靠的生命线,供用户验收测试新手指南或利益相关者参考。 本书是为满足三类不同人群的需求而编…

以太网PHY芯片详解

以太网PHY芯片详解 什么是phy phy的基本作用 收到MAC过来的数据(PHY没有帧的概念,都是数据而不管什么地址数据还是CRC),进行处理,然后把并行数据转化为串行流数据,再按照物理层的编码规则把数据编码,再变为模拟信号把数据送出去。 实现CSMA/CD(多点接入载波监听/冲突检…

pwnos1

文件泄露 80端口下存在文件读取 尝试读取用户列表 http://192.168.1.110/index1.php?help=true&connect=../../../../../../../etc/passwdroot:x:0:0:root:/root:/bin/bash daemon:x:1:1:daemon:/usr/sbin:/bin/sh bin:x:2:2:bin:/bin:/bin/sh sys:x:3:3:sys:/dev:/bin/sh…

pwnos2

这台靶机要自行配置攻击机在10.10.10.0/24网段下 sql注入 80端口login处发现可以注入的地方,sqlmap能梭出来很多东西,但是好像都登录不了,--os-shell也是没回显的 sqlmap -u http://10.10.10.100/login.php --data="email=1&pass=1&submit=Login&submitted…