zoukankan      html  css  js  c++  java
  • WinDows应急响应基础

    文件排查

    开机启动有无异常文件

    msconfig

    1572850369183

    敏感的文件路径

    %WINDIR%
    %WINDIR%SYSTEM32
    %TEMP%
    %LOCALAPPDATA%
    %APPDATA%
    
    • 用户目录

    新建账号会在这个目录生成一个用户目录,查看是否有新建用户目录
    Window 2003 C:Documents and Settings
    Window 2008R2 C:Users

    • 回收站
    • 浏览器下载记录/目录
    • 浏览器历史记录

    文件排查

    • 临时文件目录

    各个盘下的temp(tmp)相关目录下查看有无异常文件:windows产生的临时文件
    1572850645111

    • 最近使用项目

    Recent是系统文件夹,里面存放着最近使用的文档的快捷方式,查看用户recent相关文件,通过分析最近打开的可疑文件分析
    开始-运行-%UserProfile%Recent
    C:Documents and SettingsAdministratorRecent
    C:Documents and SettingsDefault UserRecent
    windows10 C:Users用户名AppDataRoamingMicrosoftWindowsRecent

    • 文件搜索/排序

    根据文件夹内文件列表时间进行排序,查找可疑文件,当然也可以搜索指定日期范围的文件
    1572851603455

    • 文件时间

    创建时间,修改时间,访问时间,黑客通过菜刀类工具改变的是修改时间,所以,如果修改时间在创建时间之前明显是可疑文件
    1572851801722

    进程排查

    网络连接 netstat

    netstat [参数] 查看网络连接状况

    参数 作用
    -b 显示在创建每个连接或监听端口时涉及的可执行程序,
    需要管理员权限,这条指令对于查找可以程序非常有帮助
    -a 显示所有网络连接,路由表和网络接口信息
    -n 以数字形式显示地址和端口号
    -o 显示与每个连接相关的所属进程ID
    -r 显示路由表
    -s 显示按协议统计信息,默认地,显示IP

    常见状态说明

    状态 解释
    LISTENING 监听状态
    ESTABLISHED 建立连接
    CLOSE_WAIT 对方主动关闭连接或者网络异常导致连接中断

    1572852646203

    显示进程 tasklist

    TASKLIST [/S system [/U username [/P [password]]]] [/M [module] | /SVC | /V] [/FI filter] [/FO format] [/NH] 显示运行在本地或远程计算机上的所有进程

    根据netstat定位出的pid,再通过tasklist命令进行进程定位,
    tasklist | findstr pid
    tasklist /svc 显示 进程-PID-服务

    wmic

    wmic process 获取进程的全路径 wmic process | findstr "程序名"

    作用 命令示例
    查询进程 wmic process(带有cmdline)
    wmic process list brief
    删除进程 wmic process where processid="2345" delete
    查询服务 wmic SERVICE(涵盖服务关联所有信息)
    wmic SERVICE where caption(name)="xxx" call stopservice
    wmic service where caption(name)="xxx" call delete
    启动项枚举 wmic startup list full
    计划任务枚举 schtasks /query /fo table /v (执行前先执行chcp 437)

    msinfo32

    开始-运行-msinfo32
    1572927245229

    任务管理器

    任务管理器-查看-选择列-PID
    1572855218758
    1572927423325

    系统信息排查

    环境变量

    set
    我的电脑-属性-高级系统设置-高级-环境变量
    

    1572857650151

    计划任务

    程序-附件-系统工具-任务计划程序
    开始-运行-compmgmt.msc
    开始-设置-控制面板-任务计划
    开始-运行-cmd-at
    

    1572858105348

    启动项

    • 开始-所有程序-启动

    此目录默认情况下是个空目录

    • gpedit.msc 组策略
      1572927800889

    服务自启动

    • service.msc

    开始-运行-service.msc

    账号信息(隐藏账号等)

    开始-运行-compmgmt.msc-本地用户和组-用户	用户名以$结尾的为隐藏用户
    net user [username]	查看用户信息
    lusrmgr.msc
    

    克隆账号

    • 打开注册表,查看管理员对应键值

    注册表项:

    • 使用D盾WEB查杀工具,集成了对克隆账号检测的功能
      1572923693986

    query user

    query user 查看当前系统的会话
    1572858598618

    logoff

    logoff ID 踢出用户

    systeminfo

    systeminfo 查看系统信息,系统版本,补丁信息等
    https://github.com/neargle/win-powerup-exp-index

    日志排查

    windows登陆日志排查

    eventnwr.msc - windows日志 - 安全 打开事件查看器
    1572921561439

    • 主要分析安全日志,可以借助自带的筛选功能
      1572921653790
      1572921668669
    • 使用Log Parser分析导出的windows安全日志
      1572924021327
    • 可以把日志导出为文本格式,然后使用notepad++打开,使用正则模式去匹配远程登录过的IP地址,在界定事件日期范围的基础
      ((?:(?:25[0-5] | 2[0-4]d | ((1d{2}) | ([1-9]?d))).){3}(?:25[0-5] | 2[0-4]d | ((1d{2}) | ([19]?d)))) 正则

    中间件日志(web日志access_log)

    默认中间件日志路径

    • nginx

    Nginx/logs/

    • apache

    Apache/logs/

    • iis

    iis6:C:windowssystem32LogFiles(iis管理器-网站-属性-网站-属性-日志记录属性)
    iis7.5+:%SystemDrive%inetpublogsLogFiles(iis管理器-网站-站点-日志-)

    • tomcat

    tomcat/logs/
    | 文件 | 说明 |
    | ---- | ---- |
    | localhost_access_log.日期.txt | tomcat的请求的所有地址以及请求的路径、时间,请求协议以及返回码等信息(重要) |
    | catalina.日期.log | Cataline引擎的日志文件 |
    | commons-daemon.日期.log | 利用服务方式启动tomcat作为守护进程的日志记录 |
    | host-manager.日期.log | tomcat的自带的manager项目的日志信息 |
    | tomcat7-stderr.日期.log | log4j的错误日志 |
    | tomcat7-stdout.日期.log | 程序中的System语句打印的日志(包括系统抛出的异常) |

    • jboss
    • weblogic

    {jboss.server.log.dir}/server.log,如:D:jboss-eap-4.3jboss-asserverslimlogserver.log
    修改配置文件jboss-log4j.xml()更改默认日志路径,如:jboss-eap-4.3jboss-asserver<server_name>confjboss-log4j.xml
    默认配置情况下,WebLogic会有三种日志,分别是access log, Server log和domain log
    WebLogic 8.x 和 9及以后的版本目录结构有所不同。
    WebLogic 9及以后版本:
    access log在 $MW_HOMEuser_projectsdomains<domain_name>servers<server_name>logsaccess.log
    server log在 $MW_HOMEuser_projectsdomains<domain_name>servers<server_name>logs<server_name>.log
    domain log在 $MW_HOMEuser_projectsdomains<domain_name>servers<adminserver_name>logs<domain_name>.log
    WebLogic 8.x 版本:
    access log在 $MW_HOMEuser_projectsdomains<domain_name><server_name>access.log
    server log在 $MW_HOMEuser_projectsdomains<domain_name><server_name><server_name>.log
    domain log在 $MW_HOMEuser_projectsdomains<domain_name><domain_name>.log
    其中:
    $MW_HOME是WebLogic的安装目录
    <domain_name>是域的实际名称,是在创建域的时候指定的
    <server_name>是Server的实际名称,是在创建Server的时候指定的
    <adminserver_name>是Admin Server的实际名称,是在创建Admin Server的时候指定的

    • websphere

    IBMWebSphereAppServerprofilesAppSrv01logsserver1SystemOut.log

    • 知道上传目录,在web log 中查看指定时间范围包括上传文件夹的访问请求
      findstr /s /m /I “UploadFiles” *.log
    • 某次博彩事件中的六合彩信息是six.js
      findstr /s /m /I “six.js” *.aspx
      根据shell名关键字去搜索D盘spy相关的文件有哪些
    • for /r d: %i in (*spy*.aspx) do @echo %i

    工具排查

    Microsoft NetWork Monitor 一款轻量级网络协议数据分析工具

    1572919008029

    PC Hunter

    颜色 解释
    黑色 微软签名的驱动程序
    蓝色 非微软签名的驱动程序
    红色 驱动检测到的可以对象
    隐藏服务,进程,被挂钩函数

    1572918951580

    ProcessExplorer windows系统和应用程序监视工具

    • 子父进程一目了然
    • 属性中的关键信息:

    映象]->[路径/命令行/工作目录/自启动位置/父进程/用户/启动时间]
    [TCP/IP]
    [安全]->[权限]

    • 想了解不同颜色意思?[选项]->[配置颜色]
      1572918918938

    Procexp是常用的进程查看工具

    • 打开procexp,在标题栏右键,可以勾选其它一些选项卡
    • 进程标识颜色不同是用于区分进程状态和进程类型,进程开始启动时为绿色,结束时为红色
    • 可对某个进程进行操作,右键单击即可
      1572918827284
      1572918866016

    Scylla_x86/x64是一款常用的PE工具,用于修复PE的IAT表及内存转储

    下载地址:https://down.52pojie.cn/Tools/PEtools/Scylla.v.0.9.8.rar

    • 在附加进程栏喧杂要附加的进程
    • 选择好后,找到页面的dump按钮(中文版为"转储到文件"),即可将内存dump到本地
      1572918757893

    Registry Workshop 注册表编辑器

    利用 Registry Workshop 注册表编辑器的搜索功能,可以找到最后写入时间区间的文件
    1572930991429

    其它工具

    病毒分析

    PCHunter:http://www.xuetr.com
    火绒剑:https://www.huorong.cn
    Process Explorer:https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer
    processhacker:https://processhacker.sourceforge.io/downloads.php
    autoruns:https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns
    OTL:https://www.bleepingcomputer.com/download/otl/
    SysInspector:http://download.eset.com.cn/download/detail/?product=sysinspector

    病毒查杀

    卡巴斯基:http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe (推荐理由:绿色版、最新病毒库)
    大蜘蛛:http://free.drweb.r u/download+cureit+free(推荐理由:扫描快、一次下载只能用1周,更新病毒库)
    火绒安全软件:https://www.huorong.cn
    360杀毒:http://sd.360.cn/download_center.html

    病毒动态

    CVERC-国家计算机病毒应急处理中心:http://www.cverc.org.cn
    微步在线威胁情报社区:https://x.threatbook.cn
    火绒安全论坛:http://bbs.huorong.cn/forum-59-1.html
    爱毒霸社区:http://bbs.duba.net
    腾讯电脑管家:http://bbs.guanjia.qq.com/forum-2-1.html

    在线病毒扫描网站

    http://www.virscan.org //多引擎在线病毒扫描网 v1.02,当前支持 41 款杀毒引擎
    https://habo.qq.com //腾讯哈勃分析系统
    https://virusscan.jotti.org //Jotti恶意软件扫描系统
    http://www.scanvir.com //针对计算机病毒、手机病毒、可疑文件等进行检测分析

    webshell查杀

    D盾_Web查杀:http://www.d99net.net/index.asp
    河马webshell查杀:http://www.shellpub.com
    深信服Webshell网站后门检测工具:http://edr.sangfor.com.cn/backdoor_detection.html
    Safe3:http://www.uusec.com/webshell.zip

    致谢:bypass007,张永印

  • 相关阅读:
    173. Binary Search Tree Iterator
    199. Binary Tree Right Side View
    230. Kth Smallest Element in a BST
    236. Lowest Common Ancestor of a Binary Tree
    337. House Robber III
    449. Serialize and Deserialize BST
    508. Most Frequent Subtree Sum
    513. Find Bottom Left Tree Value
    129. Sum Root to Leaf Numbers
    652. Find Duplicate Subtrees
  • 原文地址:https://www.cnblogs.com/mrhonest/p/11798381.html
Copyright © 2011-2022 走看看