Windows入侵响应排查 – 作者:可乐kele

Windows入侵排查思路

检查系统账号安全

1.检查弱口令，远程端口是否对外网开发

2.查看可疑账号与新增账号

（1）在cmd中输入lusrmgr.msc会弹出本地用户组，在用户下即可查看账号，如有不知名账号，立即禁用删除。

（2）通过net user 也可查看

3.查看是否存在隐藏账号

（1）使用D盾进行查看

（2）在注册表也可以进行查看

在快捷键输入regedit

依次展开

右键权限

权限给完以后，刷新重新打开，依次展开HKEY_LOCAL_MACHINE\SAM\\SAM\Domains\account\Users\Names，即可看到所有的用户。

4.查看日志，用户登录时间等

（1）在cmd输入eventvwr.msc快速打开事件查看器

（2）导出windows日志，用工具Log Parser进行分析

检查端口和进程

1. 检查端口的连接方法

用netstat -ano 进行查看所有开启的端口的网络连接，然后在根据pid使用tasklist去定位进程tasklist | findstr“PID”，taskkill /PID xxx”结束进程，xxx 为进程PID的值

2. 进程检测

（1）在cmd或运行输入msinof32，点击软件环境——正在运行任务即可查看进行信息（进程路径、进程ID、文件创建日期、启动时间）

（2）使用D盾也可以进行查看

（3）在任务管理器也可以进行查看，右键可查看进程属性及位置

同时在命令行界面，可以使用运行输入 wmic，cmd界面 输入 process，即可通过命令行进行查看进程的位置

查看Windows服务所对应的端口： ​ %system%/system32/drivers/etc/services（一般%system%就是C:\Windows）

（4）查看可疑的进程及其子进程。可以通过观察以下内容：

没有签名验证信息的进程

没有描述信息的进程

进程的属主

进程的路径是否合法

CPU或内存资源占用长时间过高的进程

检查启动项、计划任务、服务

启动项检查：

1. 首先检查在开启的启功项中是否存在非业务程序
2. 在运行菜单输入msconfig，查看是否存在命名异常的项目
3. 打开注册表，查看启动项是否正常，运行——regedit，其中特别要注意：

HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

4. 可利用软件查看启动项（火绒剑等

计划任务检查：

1.在控制面板找到计划任务，查看计划任务大的属性

    2.在cmd输入at，检查计算机与网络上其他计算机之间的会话联系（管理员启动）

    3.通过在运行输入msc，来检查服务自启动

检查系统相关信息

查看系统版本及补丁：

1. 管理员方式启动cmd输入systeminfo，查看服务器信息

查看可疑目录及文件：

2. 查看用户目录C:\Users\、C:\Documents and Settings（2003）
3. 查看最近打开的文件（在运行输入%UserProfile%\Recent）
4. 根据文件夹内文件列表时间进行排序，查找可疑文件、回收站、浏览器下载目录、浏览器历史记录、修改时间在创建时间之前的为可疑文件
5. 得到发现WEBSHELL、远控木马的创建时间，如何找出同一时间范围内创建的文件？

利用 Registry Workshop 注册表编辑器的搜索功能，可以找到最后写入时间区间的文件、利用计算机自带文件搜索功能，指定修改时间进行搜索。

工具查杀及日志审计

1. 使用火绒、360等安全工具进行查杀
2. Webshell查杀工具D盾等
3. 系统日志在cmd打开msc，在事件查看器中即可查看，导出应用程序日志、安全日志、系统日志，利用Log Parser进行分析。Web日志可以找到中间件日志打包到本地分析，或者采用工具分析（EmEditor）

• 工具

病毒分析：

PCHunter：http://www.xuetr.com

火绒剑：https://www.huorong.cn

Process Explorer：https://docs.microsoft.com/zhcn/sysinternals/downloads/process-explorer

processhacker：https://processhacker.sourceforge.io/downloads.php

autoruns：https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns

OTL：https://www.bleepingcomputer.com/download/otl/

SysInspector：http://download.eset.com.cn/download/detail/?product=sysinspector

病毒查杀

卡巴斯基：http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe （推荐理由：绿色版、最新病毒库）

大蜘蛛：http://free.drweb.ru/download+cureit+free（推荐理由：扫描快、一次下载只能用1周，更新病毒库）

火绒安全软件：https://www.huorong.cn

360杀毒：http://sd.360.cn/download_center.html

病毒动态：

CVERC-国家计算机病毒应急处理中心：http://www.cverc.org.cn

微步在线威胁情报社区：https://x.threatbook.cn

火绒安全论坛：http://bbs.huorong.cn/forum-59-1.html

爱毒霸社区：http://bbs.duba.net

腾讯电脑管家：http://bbs.guanjia.qq.com/forum-2-1.html

在线病毒扫描

http://www.virscan.org //多引擎在线病毒扫描网 v1.02，当前支持 41 款杀毒引擎

https://habo.qq.com //腾讯哈勃分析系统

https://virusscan.jotti.org //Jotti恶意软件扫描系统

http://www.scanvir.com //针对计算机病毒、手机病毒、可疑文件等进行检测分析

webshell查杀

D盾_Web查杀：http://www.d99net.net/index.asp

河马webshell查杀：http://www.shellpub.com

深信服Webshell网站后门检测工具：http://edr.sangfor.com.cn/backdoor_detection.html

Safe3：http://www.uusec.com/webshell.zip

来源：freebuf.com 2021-03-22 17:17:07 by: 可乐kele