Windows 入侵排查

一、文件排查

(1)开机启动有无异常文件 【开始】➜【运行】➜【msconfig】

(2)各个盘下的temp(tmp)相关目录下查看有无异常文件 :Windows产生的临时文件

(3)Recent是系统文件夹,里面存放着你最近使用的文档的快捷方式,查看用户recent相关文件,通过分析最近打开分析可疑文件: 【开始】➜【运行】➜【%UserProfile%\Recent】

(4)根据文件夹内文件列表时间进行排序,查找可疑文件。当然也可以搜索指定日期范围的文件及文件

(5)查看文件时间,创建时间、修改时间、访问时间,黑客通过菜刀类工具改变的是修改时间。所以如果修改时间在创建时间之前明显是可疑文件

二、 进程排查

(1)netstat -ano 查看目前的网络连接,定位可疑的ESTABLISHED netstat 显示网络连接、路由表和网络接口信息;

参数说明: -a 显示所有网络连接、路由表和网络接口信息

-n 以数字形式显示地址和端口号

-o 显示与每个连接相关的所属进程 ID

-r 显示路由表

-s 显示按协议统计信息、默认地、显示IP

常见的状态说明:

LISTENING 侦听状态

ESTABLISHED 建立连接

CLOSE_WAIT 对方主动关闭连接或网络异常导致连接中断

(2)根据netstat定位出的pid,再通过tasklist命令进行进程定位

tasklist 显示运行在本地或远程计算机上的所有进程;

(3)根据wmic process 获取进程的全路径 [任务管理器也可以定位到进程路径]

很多种类的病毒都依赖网络进行传播和复制,并感染局域网中的大量终端。可以通过开放端口进行分析,有助于病毒对象的确认;

三、系统信息排查

(1)查看环境变量的设置

【我的电脑】➜【属性】➜【高级系统设置】➜【高级】➜【环境变量】

排查内容:temp变量的所在位置的内容;后缀映射PATHEXT是否包含有非windows的后缀;有没有增加其他的路径到PATH变量中(对用户变量和系统变量都要进行排查);

(2)Windows 计划任务

【程序】➜【附件】➜【系统工具】➜【任务计划程序】

(3)Windows帐号信息,如隐藏帐号等

【开始】➜【运行】➜【compmgmt.msc】➜【本地用户和组】➜【用户】 (用户名以$结尾的为隐藏用户,如:admin$)

命令行方式:net user,可直接收集用户信息(此方法看不到隐藏用户),若需查看某个用户的详细信息,可使用命令➜net user username;

(4)查看当前系统用户的会话

使用➜ query user 查看当前系统的会话,比如查看是否有人使用远程终端登录服务器;

logoff 踢出该用户;

(5)查看systeminfo信息,系统版本以及补丁信息

例如系统的远程命令执行漏洞MS17-010(永恒之蓝)、MS08-067、MS09-001 …

若进行漏洞比对,建议自建使用Windows-Privilege-Escalation-Exploit;

Github源码:https://github.com/neargle/win-powerup-exp-index

四、工具排查

(1)PC Hunter

PC Hunter是一个Windows系统信息查看软件

下载地址:http://www.xuetr.com/ 功能列表如下:

1.进程、线程、进程模块、进程窗口、进程内存信息查看,杀进程、杀线程、卸载模块等功能

2.内核驱动模块查看,支持内核驱动模块的内存拷贝

3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看,并能检测和恢复ssdt hook和inline hook

4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等Notify Routine信息查看,并支持对这些Notify Routine的删除

5.端口信息查看,目前不支持2000系统

6.查看消息钩子

7.内核模块的iat、eat、inline hook、patches检测和恢复

8.磁盘、卷、键盘、网络层等过滤驱动检测,并支持删除

9.注册表编辑

10.进程iat、eat、inline hook、patches检测和恢复

11.文件系统查看,支持基本的文件操作

12.查看(编辑)IE插件、SPI、启动项、服务、Host文件、映像劫持、文件关联、系统防火墙规则、IME

13.ObjectType Hook检测和恢复

14.DPC定时器检测和删除

15.MBR Rootkit检测和修复

16.内核对象劫持检测

17.WorkerThread枚举

18.Ndis中一些回调信息枚举

19.硬件调试寄存器、调试相关API检测

20.枚举SFilter/Fltmgr的回调

PC Hunter 数字签名颜色说明:

黑色:微软签名的驱动程序;

蓝色:非微软签名的驱动程序;

红色:驱动检测到的可疑对象,隐藏服务、进程、被挂钩函数;

PS:最简单的使用方法,根据颜色去辨识➜➜➜可疑进程,隐藏服务、被挂钩函数:红色,然后根据程序右键功能去定位具体的程序和移除功能。根据可疑的进程名等进行互联网信息检索然后统一清除并关联注册表;

(2)ProcessExplorer

Windows系统和应用程序监视工具;

(3)Microsoft Network Monitor

一款轻量级网络协议数据分析工具;

五、日志排查

(1)Windows登录日志排查

a)打开事件管理器

【开始】➜【管理工具】➜【事件查看】

【开始】➜【运行】➜【eventvwr】

b)主要分析安全日志,可以借助自带的筛选功能

可以把日志导出为文本格式,然后使用notepad++ 打开,使用正则模式去匹配远程登录过的IP地址,在界定事件日期范围的基础。

正则:

((?:(?:25[0-5]|2[0-4]\d|((1\d{2})|([1-9]?\d))).){3}(?:25[0-5]|2[0-4]\d|((1\d{2})|([1-9]?\d))))

这样就可以把界定事件日期事件快速检索出来进行下一步分析

文章作者:  BigYoung
版权声明:  本网站所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 BigYoung !



z