一、系统排查
1、系统详细信息
systeminfo
2、网络链接
netstat -ano
LISTENING 服务启动后首先处于侦听
ESTABLISHED 建立连接。表示两台机器正在通信。
CLOSE_WAIT 对方主动关闭连接或者网络异常导致连接中断,这时我方的状态会变成CLOSE_WAIT 此时我方要调用close()来使得连接正确关闭
TIME_WAIT 我方主动调用close()断开连接,收到对方确认后状态变为TIME_WAIT。
根据PID定位进程
重点关注 ESTABLISHED pid
查看进程 tasklist
tasklist | findstr "1612"
快速定位端口对应的进程
netstat -anb
根据进程定位应用程序
任务管理器-进程-选中进程名-右击打开文件位置
3、利用系统启动项执行后门
系统中的启动目录
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
等于
运行-shell:startup
系统配置msconfig
运行-msconfig
注册表启动
HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
4、计划任务
运行-taskschd.msc
打开计划任务-查看属性(检测是否存在、可疑的任务)
也可以在终端里schtasks命令查看
5、组策略
运行-gpedit.msc
6、注册表
运行-regedit
7、服务
运行-msconfig
或者
计算机-管理-服务和应用程序-服务
二、排查检测账号
1、查看当前系统在线用户
query user
2、查看系统隐藏用户
账号后面加上$在命令终端是查看不到
net user
需要在计算机管理 本地用户和组查看
也可以运行-lusrmgr.msc
3、账号克隆
访问注册表 HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users 权限不够可以设置可读权限
wmic方法查询用户信息
wmic useraccount get name,Sid
可以用D盾去检测用户是否被克隆
三、文件痕迹排查
1、查看用户最近的打开的文件
运行-%UserProfile%\Recent 查看用户最近的打开的文件 对可疑的文件进行分析 文件可疑上传到 病毒库平台分析。
在线检测分析平台
http://www.virscan.org //多引擎在线病毒扫描网 v1.02,当前支持 41 款杀毒引擎
https://habo.qq.com //腾讯哈勃分析系统
https://virusscan.jotti.org //Jotti恶意软件扫描系统
http://www.scanvir.com //针对计算机病毒、手机病毒、可疑文件等进行检测分析
2、查看临时目录
运行-%tmp%
四、进程排查
1、打开任务管理器查看进程
2、tasklist命令
tasklist /svc 查看每个进程和服务对应的情况
根据PID定位进程
tasklist | findstr "1612"
五、windows 系统安全日志分析
主要记录系统的安全信息,包括成功的登录、退出,不成功的登录,系统文件的创建、删除、更改,需要指明的是安全日志只有系统管理员才可以访问,这也体现了在大型系统中安全的重要性。
事件ID汇总 https://blog.csdn.net/qq_45825991/article/details/115577680
事件查看器
控制面板 ->管理工具 ->事件查看器
或者
运行-eventvwr或eventvwr.msc
在事件点击安全 点击 筛选当前日志 输入id进行 筛选
搜索4720
看到创建被创建隐藏账号
筛选 4625
找到大量的失败的登录日志 有可能被暴力破解。
六、web日志分析
从Web应用日志中,可以分析攻击者在什么时间、使用哪个IP,访问了哪个网站。
根据使用不同的中间件,log日志位置也不同,百度搜即可。
1、nginx
2、apache
3、tomcat
七、webshell查杀&木马病毒查杀
1、webshell
河马:https://www.shellpub.com/
D盾(iis):https://www.d99net.net/
2、木马病毒
火绒:https://www.huorong.cn/
360杀毒:https://sd.360.cn/
电脑管家:https://guanjia.qq.com/