Windows的应急

学习过程中看到师傅文章，所以顺便做了个思维导图 师傅太强了 原文链接已放文末。

常见的应急响应事件分类。

web入侵

• 网页挂马

• 主页篡改

• webshell

系统入侵

• 病毒木马

• 勒索病毒

• 远控木马

网络攻击

• ddos

• dns劫持

• arp欺骗

windows入侵排查

1.1 检查账号安全性

• 1. 检查系统账号安全性。
• 2. 查看服务器是否存在可疑或者新增账号

  • 检查方法：

    • Win+R打开运行窗口，输入lusrmgr.msc，查看是否有新增可疑的账号，如果有管理员群组里的新增账户，请立即禁用或者删掉

  • 管理员群组：

    • Administrators
• 3. 查看服务器是否存在隐藏账号，克隆账号等。

  • 检查方法：

    • 打开注册表：查看对应键值

      • 第一步：Win+R打开运行窗口，输入regedit打开注册表编辑器
      • 第二步：选择 HKEY_LOCAL_MACHINE/SAM/SAM，默认无法查看
      • 第三步：右击SAM，权限，选择当前用户(一般是Administrator),将权限勾选为完全控制，然后确定并且关闭注册表
      • 第四步：选择 HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users;
      • 第五步：在Names项下可以看到实例所有用户名
      • Tips:如果出现本地账户中没有的账户，即为隐藏账户，在确认为非系统用户的前提下，可删除此用户

    • 使用D盾_web查杀工具，集成了对克隆账号的检测功能

• 结合日志，查看管理员登录时间、用户名是否存在异常。

  • 方法：

    • 1. Win+R打开运行窗口，输入eventvwr.msc，打开事件查看器。
    • 2. 导出Windows日志–安全，利用Log Parser进行分析

1.2 检查异常端口、进程

• 1. netstat -ano 查看目前的网络连接，定位可疑的ESTABLISHED状态
• 2. 根据netstat 确定PID，再通过tasklist | findstr “PID” 定位进程
• 3. Win+R打开运行窗口，输入msinfo32，在【软件环境】-> 【正在运行的任务】通过PID和进程名定位，就可以看到进程的详细信息，比如进程路径、进程ID、文件创建日期、启动时间等。
• 4. 在我们想要杀死进程的时候，可能因为进程绑定了系统服务，无法杀死，通过tasklist /svc 查看进程对应的服务。Win+R打开运行窗口，输入serivces.msc，关闭对应服务，然后在杀死进程。
• 5. 查看Windows服务所对应的端口：
  • %system%/system32/drivers/etc/services (一般%system%就是C:\Windows)

• Tips：当我们通过第3步确定落地文件之后，可以将可疑文件上传到威胁情报社区去做威胁情报检测。

1.3 检查启动项、计划任务、服务

• 1、检查服务器是否有异常的启动项

  • 1. 登录服务器，单机【开始】-> 【所有程序】->【启动】，默认情况下此目录是一个空目录，确认是否有非业务程序在该目录下
  • 2. Win+R打开运行窗口，输入msconfig，查看是否存在命名异常的启动项目，是则取消勾选该启动项，并到命令中显示的路径除文件
  • 3. Win+R打开运行窗口，输入regedit打开注册表，查看开机启动项是否正常，注册表项如下：
    • HKEY_CURRENT_USER\SOFTWARE\Micorsoft\Windows\CurrentVersion\Run
    • HKEY_LOCAL_MACHINE\SOFTWARE\Micorsoft\Windows\CurrentVersion\Run
    • HKEY_LOCAL_MACHINE\SOFTWARE\Micorsoft\Windows\CurrentVersion\RunOnce检查右侧是否有启动异常的项目，有则删除，并建议安装杀毒软件进行病毒查杀，清除残留病毒或木马。
  • 4. 利用安全软件查看启动项、开机时间管理等
  • 5. Win+R打开运行窗口，输入gpedit.msc打开本地组策略编辑器，单机【Windows】->【脚本(启动/关机)】->【启动】/【关机】查看是否有启动项

• 2、检查计划任务

• 3、服务自启动

1.4 检查系统相关信息

• 1、查看系统版本以及补丁信息

  • 检查方法：Win+R打开运行窗口，输入systeminfo，查看系统信息

• 2、查找可疑目录及文件

  • 1. 查看用户目录，新建账号会在这个目录生成一个用户目录
    • Windows Server 2003 : C:\Documents and Settings
    • Windows Server 2008R2 : C:\Users\
  • 2. Win+R 打开运行窗口，输入%UserProfile%\Recent，分析最近打开文件
  • 3. 在服务器各个目录，可根据文件夹内文件列表时间进行排序，查找可疑文件
  • 4. 回收站、浏览器下载目录、浏览器历史记录
  • 5. 修改时间在创建时间之前的为可疑文件

• 3、得到发现Webshell、远控木马的创建时间，找同一时间范围内创建的文件

  • 1. 利用Registry Workshop 注册表编辑器的搜索功能，可以找到最后写入时间区间的文件
  • 2. 利用计算机自带的文件搜索功能，指定修改时间进行搜索

1.5 自动化查杀

• 1、病毒查杀

  • 检查方法：下载安全软件，更新最新病毒库，进行全盘扫描

• 2、webshell查杀

  • 检查方法：选择具体的站点路径进行webshell查杀，建议使用两款或者多款查杀工具同时查杀，可以相互补充规则库的不足

1.6 日志分析

• 1、系统日志

  • 1. 前提：开启审核策略，若日后出现系统故障、安全事故则可以查看系统的日志文件，排除故障，追查入侵的信息等。
  • 2. Win+R打开运行窗口，输入eventvwr.msc，打开事件查看器
  • 3. 导出应用程序日志、安全日志、系统日志，利用Log Parser进行分析

• 2、web访问日志

  • 1. 找到中间件的web日志，打包到本地方便进行分析
  • 2. Windows推荐使用EmEditor进行日志分析；Linux推荐使用shell命令组合查询分析

• 常见日志存放路径

  • 1、apache服务器

    • Windows : <Apache安装目录>\logs\access.log
    • Linux :/usr/local/apache/logs/access.log
    • 若不存在，参考Apache配置文件httpd.conf中相关配置

  • 2、tomcat服务器

    • 日志文件通常位于Tomcat安装目录下的logs文件夹内，若不存在，则参考Tomcat配置文件Server.xml中的相关配置 ，如：

      • directory=”logs” prefix=”localhost_access_log.”
      • suffix=”.txt”
      • pattern=”common” resolveHosts=”false”/>

  • 3、IIS服务器

    • 默认位置：%systemroot%\system32\logfiles\ 可自由设置
    • 默认日志命名方式：ex+年份的末两位数字+月份+日期+.log

  • 4、Nginx

    • 日志存储路径在Nginx配置文件中，其中：
    • Access_log变量规定了日志存放路径与名字，以及日志格式名称，默认值”access_log”

  • 5、Jboss

    • 默认不做访问日志记录
    • 修改${JBOSS_HOME}/server/default/deploy/jbossweb.sar/server.xml（不同版本文件位置不一样）
    • 日志保存在${JBOSS_HOME}/server/default/log/下，前缀为：localhost_access_log

关于配置文件

• Tomcat: server.xml 会有服务器端口配置，日志配置等
• Apache: httpd.conf是apache主要配置文件，包括端口，模块启用，日志配置等
• Nginx: nginx.conf是主要配置文件，会有端口，重写，代理等配置，也会有日志配置等。
• IIS: web.config 是主要配置文件，通过IIS界面修改的配置会保存到web.config里，包括重写等操作，日志配置一般不变，通过界面就可查看

参考链接： https://blog.csdn.net/weixin_44727454/article/details/125605281
下面附上思维导图

我好菜 太废物了 淦