【应急响应】Windows应急响应 - 基础命令篇

前言

在如今的数字化时代,Windows系统面对着越来越复杂的网络威胁和安全挑战。本文将深入探讨在Windows环境下的实战应急响应策略。我们将重点关注实际应急响应流程、关键工具的应用,以及如何快速准确地识别和应对安全事件。通过分享实际案例分析,旨在帮助网络安全从业者提升应急响应能力,有效保护关键资产和数据的安全。

应急响应流程

Windows系统的应急响应是指在发生安全事件或者怀疑系统遭受攻击时,采取的快速响应和处置措施,以最大限度地减少损失并恢复系统的安全性和可用性。
以下是一般情况下的Windows应急响应详细步骤:

1. 确认安全事件
监控系统日志: 检查Windows事件日志(Event Viewer),寻找异常事件、错误消息或警告,特别关注安全事件、登录异常等。
2. 切断系统与网络连接
物理隔离: 如果发现安全威胁,立即考虑物理隔离系统,断开与网络的连接,防止攻击扩散或数据泄露。
3. 收集证据和分析
镜像磁盘: 制作系统的磁盘镜像,以便后续离线分析和取证,确保原始数据不被篡改。
4. 隔离受影响系统
隔离系统: 将受影响的系统从生产环境隔离,防止继续影响其他系统或网络。
5. 安全漏洞修复和系统清理
修补漏洞: 安装系统和应用程序的最新补丁和安全更新,修复已知的安全漏洞。
6. 恢复系统和监控
系统恢复: 在清理和修复后,恢复系统的正常运行状态,并确保所有必要的服务和应用程序正常工作。
7. 事后总结和改进
事件总结: 对安全事件进行总结和分析,了解攻击的方式和入侵路径,制定改进措施。

在进行应急响应时,最重要的是快速反应、有效隔离和详细记录,以确保最小化损失和快速恢复系统的安全状态。

Windows基础应急命令

一、系统排查

1、系统详细信息

简单了解系统信息
systeminfo

image.png

GUI显示的系统信息
msinfo32  

2、网络连接

netstat 是一个用于显示网络连接、路由表和网络接口信息的命令行工具

-a显示所有连接(包括监听连接)。
-t显示TCP协议的连接。
-u显示UDP协议的连接。
-n显示数字格式的地址和端口号(不解析域名和服务名)。
-o显示建立连接的进程标识(PID)。
-p显示建立连接的程序名称和PID。
-e显示详细的网络统计信息,包括以太网帧和TCP/UDP数据包。
-s显示协议统计信息。
-r显示路由表信息。
-c持续显示网络状态信息,类似于UNIX系统的top命令。
-l仅显示监听状态的连接。
-x显示UNIX域套接字的连接。
-f显示FQDN(Fully Qualified Domain Names)格式的域名。
-y显示TCP连接的TCP数据包信息。
-v显示netstat命令的版本信息。
-h 或 --help显示netstat命令的帮助信息。
netstat -ano 

image.png
网络连接各状态含义

状态含义
LISTENING正在等待传入的连接请求。
ESTABLISHED连接已经建立,数据可以在两个端点之间传输。
TIME_WAIT连接已经关闭,等待足够的时间以确保对方已收到连接关闭请求。
CLOSE_WAIT本地端已经关闭连接,但是远程端仍保持连接打开状态。
FIN_WAIT_1已经发送连接关闭请求,正在等待远程端确认。
FIN_WAIT_2已经收到远程端的连接关闭请求,正在等待确认。
CLOSED没有活动的连接或监听。
SYN_SENT正在发送连接请求。
SYN_RECEIVED已经收到对方的连接请求,并发送了确认。
LAST_ACK已经发送连接关闭请求,并收到对方的确认,正在等待最终关闭。
RESET连接被远程端重置。通常是由于对方在本地端尝试建立连接之前关闭。

在网络安全应急响应中,对于处于 ESTABLISHED 状态的网络连接进行重点排查是非常重要的。这是因为

  1. 持久性连接:ESTABLISHED连接通常是持久性的,数据可以在两个端点之间自由传输。这种连接可能会被恶意软件或攻击者利用来持续地传输数据、执行命令或者窃取信息。
  2. C&C通道:恶意软件常常使用ESTABLISHED连接作为命令和控制(C&C)通道,使得攻击者可以远程控制受感染系统,执行各种攻击活动。
  3. 数据泄露:正常情况下,ESTABLISHED连接用于合法的数据传输。但是,如果系统遭到入侵或者恶意软件感染,这些连接可能用于非授权的数据泄露,如窃取敏感信息、文件传输等。
  4. 横向扩展:攻击者可以利用已建立的ESTABLISHED连接从一个受感染的主机向其他内部系统横向扩展攻击,从而扩大其攻击面。
    ESTABLISHED 状态表示连接已经成功建立并且正在活跃地传输数据。在安全的角度来看,我们关注 ESTABLISHED 连接的主要原因包括:

因此,网络安全人员在进行安全响应时,需要仔细检查和分析所有处于ESTABLISHED状态的连接,确保这些连接是合法的,不会对系统安全造成威胁。通过检查ESTABLISHED连接,可以及时发现并应对可能的安全威胁和攻击。

根据PID定位进程

重点关注 ESTABLISHED pid
查看进程 tasklist

tasklist | findstr "4020"

image.png

快速定位端口对应的进程
netstat -anb

image.png

根据进程定位应用程序
任务管理器-进程-选中进程名-右击打开文件位置

image.png
image.png

3、进程排查

1、打开任务管理器查看进程

image.png

2、tasklist命令

image.png

tasklist /svc 查看每个进程和服务对应的情况

image.png

根据PID定位进程
tasklist | findstr "4020"

4、排查检测账号

1、查看当前系统在线用户
query user

image.png

2、查看系统隐藏用户
net user

image.png

账号后面加上$在命令终端是查看不到
访问注册表\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names对比数量是否一致,不一致则说明有隐藏用户

image.png

需要在计算机管理 本地用户和组查看 也可以运行-lusrmgr.msc

image.png
image.png

3、账号克隆

创建隐藏用户并将其权限(F值)修改为与管理员相同的做法,可能导致严重的安全漏洞。这种操作可能使未经授权的用户获得管理员权限,并可能被用作系统的后门。为了发现潜在的克隆账号,建议检查注册表\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names中是否存在带有$符号的隐藏用户。如果发现这样的用户,请仔细检查其权限设置,确保不与管理员账号相同。一旦发现异常,应立即采取措施防止进一步的安全风险。

访问注册表 HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users 权限不够可以设置可读权限

若打开SAM后内无文件夹,右键选择权限 - 给指定用户配置读取权限

image.png
image.png

wmic方法查询用户信息
wmic useraccount get name,Sid

如果两个账号有相同的 SID,则可能是克隆的账号

image.png

可以用D盾去检测用户是否被克隆

image.png

5、利用系统启动项执行后门

系统中的启动目录
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
等于
运行-shell:startup

image.png
image.png

系统配置msconfig
运行 - msconfig

image.pngimage.png

注册表启动
HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
msinfo32.exe命令

image.png

6、计划任务

运行-taskschd.msc   
打开计划任务-查看属性(检测是否存在、可疑的任务)

image.png
image.png

也可以在终端里schtasks命令查看  

image.png

7、注册表

运行-regedit

image.png
image.png

8、服务

运行-msconfig
或者
Windows 任务管理器-服务
或者
计算机管理-服务和应用程序-服务
或者
cmd命令msinfo32.exe(支持搜索)

image.png
image.png
image.png
image.png

9、组策略

运行-gpedit.msc

image.png
image.png

二、日志排查

1、windows 系统安全日志分析

主要记录系统的安全信息,包括成功的登录、退出,不成功的登录,系统文件的创建、删除、更改,需要指明的是安全日志只有系统管理员才可以访问,这也体现了在大型系统中安全的重要性。

image.png

事件类型注释
信息(Information)指应用程序、驱动程序或服务的成功操作事件
警告(Warning)系统发现了一个可能会导致问题的情况,但尚未产生错误。例如,磁盘空间不足、某些服务未能及时启动等
错误(Error)系统或应用程序发生了一个问题或失败,可能导致系统功能的部分或完全受到影响。例如,应用程序崩溃、服务停止等
审核成功(Success Audit)审核成功事件记录了成功的审核活动,例如成功的用户登录、文件或对象访问成功等。这些事件有助于审计和跟踪系统访问和活动
审核失败(Failure Audit)审核失败事件记录了审核尝试但未成功的活动,例如无效的登录尝试、拒绝的访问尝试等。这些事件有助于检测潜在的安全威胁或攻击行为

Windows安全事件最常用的事件ID:

事件ID说明备注
1074计算机开机、关机、重启的时间、原因、注释查看异常关机情况
1102清理审计日志发现篡改事件日志的用户
4624登录成功检测异常的未经授权的登录
4625登陆失败检测可能的暴力密码攻击
4632成员已添加到启用安全性的本地组检测滥用授权用户行为
4634注销用户
4648试图使用显式凭据登录
4657注册表值被修改
4663尝试访问对象检测未经授权访问文件和文件夹的行为。
4672administrator超级管理员登录(被赋予特权)
4698计划任务已创建
4699计划任务已删除
4700启用计划任务
4701禁用计划任务
4702更新计划任务
4720创建用户
4726删除用户
4728成员已添加到启用安全性的全局组确保添加安全组成员的资格信息
4740锁定用户账户检测可能的暴力密码攻击
4756成员已添加到启用安全性的通用组
6005表示日志服务已经启动(表明系统正常启动了)查看系统启动情况
事件查看器
事件查看器
或者
运行-eventvwr或eventvwr.msc
在事件点击安全  点击  筛选当前日志 输入id进行 筛选

image.png
定期审查安全事件日志,特别是事件ID 4720,以便及时发现任何未经授权的帐户创建。
image.png
image.png

筛选 4625 找到大量的失败的登录日志 有可能被暴力破解。

image.png

2、web日志分析

从Web应用日志中,可以分析攻击者在什么时间、使用哪个IP,访问了哪个网站。  
根据使用不同的中间件,log日志位置也不同,百度搜即可。

1、Nginx

image.png

2、Apache

image.png

3、Tomcat

image.png

三、文件痕迹排查

1、查看用户最近的打开的文件

运行-%UserProfile%\Recent 查看用户最近的打开的文件 对可疑的文件进行分析 文件可疑上传到 病毒库平台分析。

image.png
image.png

2、查看临时目录

运行-%tmp%

image.png
image.png

四、webshell&木马病毒 - 查杀

1、webshell

河马:https://www.shellpub.com/
D盾(iis):https://www.d99net.net/ 

2、木马病毒

360杀毒:https://sd.360.cn/
360安全大脑:https://sc.360.net/
火绒:https://www.huorong.cn/
微步在线云沙箱:https://s.threatbook.com/
腾讯哈勃分析系统:https://habo.qq.com/
Jotti恶意软件扫描系统:https://virusscan.jotti.org/
ScanVir:http://www.scanvir.com/

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/diannao/39579.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

FIO压测磁盘性能以及需要注意的问题

一、压测类型 1、顺序读(IO):read,bs1M,job数从1开始往上加:2、3、4... 2、顺序写(IO):write,bs1M,job数从1开始往上加:2、3、4... …

【ACM出版,马来西亚-吉隆坡举行】第四届互联网技术与教育信息化国际会议 (ITEI 2024)

作为全球科技创新大趋势的引领者,中国不断营造更加开放的科技创新环境,不断提升学术合作的深度和广度,构建惠及各方的创新共同体。这是对全球化的新贡献,是构建人类命运共同体的新贡献。 第四届互联网技术与教育信息化国际学术会议…

【C++知识点总结全系列 (07)】:模板与泛型编程详细总结与分析

模板与泛型编程 1、概述(1)What(什么是模板、泛型编程)(2)Why(3)Which(4)模板参数A.WhatB.HowC.模板参数的类型成员D.默认模板参数 2、模板函数3、模板类(1)How(如何定义和使用模板类)(2)成员模板 4、模板实参推断(1)What&#xf…

昇思25天学习打卡营第7天|Pix2Pix实现图像转换

文章目录 昇思MindSpore应用实践基于MindSpore的Pix2Pix图像转换1、Pix2Pix 概述2、U-Net架构定义UNet Skip Connection Block 2、生成器部分3、基于PatchGAN的判别器4、Pix2Pix的生成器和判别器初始化5、模型训练6、模型推理 Reference 昇思MindSpore应用实践 本系列文章主要…

Python基础003

Python流程控制基础 1.条件语句 内置函数input a input("请输入一段内容:") print(a) print(type(a))代码执行的时候遇到input函数,就会等键盘输入结果,已回车为结束标志,也就时说输入回车后代码才会执行 2.顺序执行…

pandas数据分析(5)

pandas使用Numpy的np.nan代表缺失数据,显示为NaN。NaN是浮点数标准中地Not-a-Number。对于时间戳,则使用pd.NaT,而文本使用的是None。 首先构造一组数据: 使用None或者np.nan来表示缺失的值: 清理DataFrame时&#xf…

解决数据库PGSQL,在Mybatis中创建临时表报错TODO IDENTIFIER,连接池用的Druid。更换最新版本Druid仍然报错解决

Druid版本1.1.9报错Caused by: java.sql.SQLException: sql injection violation, syntax error: TODO IDENTIFIER : CREATE TEMPORARY TABLE temp_ball_classify (id int8 NOT NULL,create_time TIMESTAMP,create_by VARCHAR,classify_name VARCHAR) 代码如下: 测…

四川蔚澜时代电子商务有限公司打造抖音电商服务新高地

在数字化浪潮汹涌澎湃的今天,电商行业以其独特的魅力和强大的市场潜力,成为了推动经济增长的新引擎。四川蔚澜时代电子商务有限公司,作为这个领域的佼佼者,正以其专业的服务、创新的理念和卓越的实力,引领抖音电商服务…

用AI,每天创作200+优质内容,2分钟教会你操作!

前段时间发布了这篇“寻找爆款文案及标题的9大渠道,直接搬运都能搞流量!”,里面我讲到如何寻找爆款标题。最近不少朋友问我,如何创作这个标题相关的内容。 多数平台都有风控规则,有些平台内容也会有字数要求。为了让大…

SpringBoot 项目整合 MyBatis 框架,附带测试示例

文章目录 一、创建 SpringBoot 项目二、添加 MyBatis 依赖三、项目结构和数据库表结构四、项目代码1、application.yml2、TestController3、TbUser4、TbUserMapper5、TestServiceImpl6、TestService7、TestApplication8、TbUserMapper.xml9、MyBatisTest 五、浏览器测试结果六、…

JavaScript实现时钟计时

会动的时钟 1.目标 2.分析 1.最开始页面不显示时间,有两个按钮 开始 暂停。开始按钮是可以点击的,暂停按钮不能点击 2.当点击开始按钮后,设置开始按钮不可用,暂停按钮可用。然后将当前系统时间放到按钮上面。每隔1秒中更新一下…

TransMIL:基于Transformer的多实例学习

MIL是弱监督分类问题的有力工具。然而,目前的MIL方法通常基于iid假设,忽略了不同实例之间的相关性。为了解决这个问题,作者提出了一个新的框架,称为相关性MIL,并提供了收敛性的证明。基于此框架,还设计了一…

3.js - 反射率(reflectivity) 、折射率(ior)

没啥太大的感觉 反射率 reflectivity 概念 反射率:指的是,材质表面反射光线的能力反射率,用于控制材质对环境光,或光源的反射程度反射率越高,材质表面反射的光线越多,看起来就越光亮使用 适用于&#xff0…

【PYG】Cora数据集分类任务计算损失,cross_entropy为什么不能直接替换成mse_loss

cross_entropy计算误差方式,输入向量z为[1,2,3],预测y为[1],选择数为2,计算出一大坨e的式子为3.405,再用-23.405计算得到1.405MSE计算误差方式,输入z为[1,2,3],预测向量应该是[1,0,0]&#xff0…

Dify入门指南

一.Dify介绍 生成式 AI 应用创新引擎,开源的 LLM 应用开发平台。提供从 Agent 构建到 AI workflow 编排、RAG 检索、模型管理等能力,轻松构建和运营生成式 AI 原生应用,比 LangChain 更易用。一个平台,接入全球大型语言模型。不同…

德璞资本:桥水公司如何利用AI实现投资决策的精准提升?

摘要: 在金融科技的浪潮中,桥水公司推出了一只依靠机器学习决策的创新基金,吸引了大量投资者的关注。本文将深入探讨该基金的背景、AI技术的应用、对桥水公司转型的影响,以及未来发展的前景。 新基金背景:桥水公司的创…

2024年7月2日 (周二) 叶子游戏新闻

老板键工具来唤去: 它可以为常用程序自定义快捷键,实现一键唤起、一键隐藏的 Windows 工具,并且支持窗口动态绑定快捷键(无需设置自动实现)。 卸载工具 HiBitUninstaller: Windows上的软件卸载工具 经典名作30周年新篇《恐怖惊魂夜…

MyBatis入门案例

实施前的准备工作: 1.准备数据库表2.创建一个新的springboot工程,选择引入对应的起步依赖(mybatis、mysql驱动、lombok)3.在application.properties文件中引入数据库连接信息4.创建对应的实体类Emp(实体类属性采用驼峰…

补浏览器环境

一,导言 // global是node中的关键字(全局变量),在node中调用其中的元素时,可以直接引用,不用加global前缀,和浏览器中的window类似;在浏览器中可能会使用window前缀:win…

校园水质信息化监管系统——水质监管物联网系统

随着物联网技术的发展越来越成熟,它不断地与人们的日常生活和工作深入融合,推动着社会的进步。其中物联网系统集成在高校实践课程中可以应用到许多项目,如环境气象检测、花卉种植信息化监管、水质信息化监管、校园设施物联网信息化改造、停车…