日期:2019-06-07 16:11:49
作者:Bay0net
介紹:Windows 應急響應、取證及溯源相關內容學習記錄
0x00、前言
常見的應急分類:
web入侵:網頁掛馬、主頁篡改、Webshell
系統入侵:病毒木馬、勒索軟件、遠控后門
網絡攻擊:DDOS攻擊、DNS劫持、ARP欺騙
0x01、入侵排查過程
1.1 系統賬戶相關
注意事項:弱口令、22/3389 等端口是否對外
查看賬號的方法:
net user(無法列出$用戶)lusrmgr.exe(無法找到注冊表方式建立的用戶)- 查看注冊表(最准)
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\ - D 盾有查看賬戶的功能
查看登錄日志:
eventvwr.msc,然后使用 Log Parser 進行日志審計。
BTW:可以通過改注冊表的方式,來建立隱藏的賬戶
1.2 進程、端口相關
查看開放的端口:netstat -ano
重點看狀態是 ESTABLISHED 的端口:netstat -ano | findstr 'estab'
查看路由:netstat -rn
查看系統信息:msinfo32,依次點擊 軟件環境→正在運行任務,可以看到當前的進程
查找 PID 對應的進程: tasklist | findstr PID
殺死進程:
taskkill /f /pid 123 /t
taskkill /f /im explorer.exe /t
查看進程對應的文件:依次輸入 wmic-- process
顯示 進程--PID--服務:tasklist /svc
查看 Windows 服務所對應的端口:
%system%/system32/drivers/etc/services(一般 %system% 就是 C:\Windows )
遇到可疑的 IP,可以使用微步在線查看 IP 的信譽,alfred 快速搜索:
https://x.threatbook.cn/nodev4/ip/{query}
防火牆配置:netsh firewall show all
1.3 啟動項、計划任務、服務
1. 啟動項相關
開機啟動文件夾:【開始】>【所有程序】>【啟動】
對應的路徑:C:\Users\xxxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
系統配置的啟動項:msconfig
注冊表的啟動項:
HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
組策略:gpedit.msc 依次選擇 【計算機配置】【Windows 設置】【腳本】【啟動】
使用工具:Autoruns
2. 服務相關
查看服務:services.msc
3. 系統信息
查看系統信息及補丁:systeminfo
4. 可疑文件和目錄
自動生成的用戶目錄:
Window 2003 C:\Documents and Settings
Window 2008R2 C:\Users\
最近打開的文件:%UserProfile%\Recent
排查的幾個點:
- 回收站、瀏覽器下載記錄、瀏覽器歷史記錄
- 時間排序,查看最新的文件
- 修改時間在創建時間之前的文件
5. 日志相關
查看日志:eventvwr.msc
1.5 內存相關
發現問題,可以先 dump 一份內存出來,兩種方式:
- 【我的電腦】右鍵選擇【屬性】,【高級系統設置】-【高級】-【啟動和故障恢復里面的設置】,選擇【寫入調試信息】中的完全內存轉儲。
- 命令行執行
NotMyFault64.exe /crash,生成的文件在%SystemRoot%\MEMORY.DMP
1.6 在線掃描網站
0x02、Windows 日志分析
2.1 日志目錄
Windows 2000 / Server2003 / Windows XP 的日志目錄
\%SystemRoot%\System32\Config\*.evt
Windows Vista / 7 / 10 / Server2008 的日志目錄
\%SystemRoot%\System32\winevt\Logs\*.evtx
系統日志(System.evtx):驅動程序、系統組件和應用軟件的崩潰以及數據丟失錯誤等
應用程序日志(Application.evtx):記錄程序運行方面的事件
安全日志(Security.evtx):登錄日志、對象訪問日志、進程追蹤日志、特權使用、帳號管理、策略變更、系統事件。安全日志也是調查取證中最常用到的日志。默認設置下,安全性日志是關閉的,管理員可以使用組策略來啟動安全性日志,或者在注冊表中設置審核策略,以便當安全性日志滿后使系統停止響應
修改配置策略,默認的話只會記錄一些簡單的,可以按照下面這個改配置
修改方法:開始 → 管理工具 → 本地安全策略 → 本地策略 → 審核策略

查看日志:eventvwr.msc
查看當前的審核策略:auditpol /get /category:*
2.2 常見事件 ID
ID 對應 日志
| (2000/XP/2003) | (Vista/7/8/2008/2012) | 描述 | 日志名稱 |
|---|---|---|---|
| 528 | 4624 | 成功登錄 | Security |
| 529 | 4625 | 失敗登錄 | Security |
| 680 | 4776 | 成功/失敗的賬戶認證 | Security |
| 624 | 4720 | 創建用戶 | Security |
| 636 | 4732 | 添加用戶到啟用安全性的本地組中 | Security |
| 632 | 4728 | 添加用戶到啟用安全性的全局組中 | Security |
| 2934 | 7030 | 服務創建錯誤 | System |
| 2944 | 7040 | IPSEC服務服務的啟動類型已從禁用更改為自動啟動 | System |
| 2949 | 7045 | 服務創建 | System |
登錄類型
| 登錄類型 | 描述 | 說明 |
|---|---|---|
| 2 | 交互式登錄(Interactive) | 用戶在本地進行登錄。 |
| 3 | 網絡(Network) | 最常見的情況就是連接到共享文件夾或共享打印機時。 |
| 4 | 批處理(Batch) | 通常表明某計划任務啟動。 |
| 5 | 服務(Service) | 每種服務都被配置在某個特定的用戶賬號下運行。 |
| 7 | 解鎖(Unlock) | 屏保解鎖。 |
| 8 | 網絡明文(NetworkCleartext) | 登錄的密碼在網絡上是通過明文傳輸的,如FTP。 |
| 9 | 新憑證(NewCredentials) | 使用帶/Netonly參數的RUNAS命令運行一個程序。 |
| 10 | 遠程交互,(RemoteInteractive) | 通過終端服務、遠程桌面或遠程協助訪問計算機。 |
| 11 | 緩存交互(CachedInteractive) | 以一個域用戶登錄而又沒有域控制器可用 |
2.3 日志分析工具 - Log Parser
下載鏈接
Log Parser Rocks! More than 50 Examples!
登錄成功的所有事件
LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM c:\Security.evtx where EventID=4624"
指定登錄時間范圍的事件:
LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM c:\Security.evtx where TimeGenerated>'2018-06-19 23:32:11' and TimeGenerated<'2018-06-20 23:34:00' and EventID=4624"
提取登錄成功的用戶名和IP:
LogParser.exe -i:EVT –o:DATAGRID "SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as Username,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM c:\Security.evtx where EventID=4624"
登錄失敗的所有事件:
LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM c:\Security.evtx where EventID=4625"
提取登錄失敗用戶名進行聚合統計:
LogParser.exe -i:EVT "SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,EXTRACT_TOKEN(Message,19,' ') as user,count(EXTRACT_TOKEN(Message,19,' ')) as Times,EXTRACT_TOKEN(Message,39,' ') as Loginip FROM c:\Security.evtx where EventID=4625 GROUP BY Message"
LogParser.exe -i:EVT –o:DATAGRID "SELECT TimeGenerated,EventID,Message FROM c:\System.evtx where EventID=6005 or EventID=6006"
0x03、快捷指令
系統相關
1. compmgmt.msc---計算機管理
【包括 計划任務、事件查看器、共享文件夾、本地用戶和組、設備管理器、磁盤管理、服務、WMI】
2. devmgmt.msc----設備管理器 【包含於compmgmt】
3. lusrmgr.msc----本地用戶和組【包含於compmgmt】4. perfmon.msc----計算機性能監測程序 【包含於compmgmt】
5. diskmgmt.msc---磁盤管理實用程序 【包含於compmgmt】
6. fsmgmt.msc-----共享文件夾管理器 【包含於compmgmt】
7. services.msc---本地服務設置 【包含於compmgmt】
8. eventvwr.msc---事件查看器 【包含於compmgmt】
9. wmimgmt.msc----打開windows管理體系結構(WMI) 【包含於compmgmt】
10. gpedit.msc----組策略
11. regedt32------注冊表編輯器 【與 regedit 類似】
12. Msconfig.exe--系統配置實用程序 【包括引導、服務、啟動項和工具】
13. rsop.msc------組策略結果集
14. regedit.exe---注冊表
15. dcomcnfg------打開系統組件服務 【包括 組件服務、事件查看器、服務】
16. wscript-------windows腳本宿主設置
17. certmgr.msc---證書管理實用程序 【排查電腦內惡意證書】
18. secpol.msc----本地安全策略
19. services.msc--本地服務設置
20. gpedit.msc----組策略
21. sigverif------文件簽名驗證程序 【可以快速篩選出來沒有通過簽名驗證的程序】
程序快速啟動
1. explorer-------打開資源管理器
2. notepad--------打開記事本
3. charmap--------打開字符映射表
4. calc-----------打開計算器
5. taskmgr--------打開任務管理器
6. mstsc----------遠程桌面連接
7. write----------打開寫字板
8. mspaint--------打開畫圖板
9. magnify--------放大鏡實用程序
10. mmc-----------打開控制台
11. Sndvol32------打開音量控制程序
12. eudcedit------打開造字程序
13. cliconfg------SQL SERVER 客戶端網絡實用程序
14. osk-----------打開屏幕鍵盤
15. odbcad32------ODBC數據源管理器
16. iexpress------捆綁工具,系統自帶【可以用來制作免殺馬】
磁盤相關
1. cleanmgr-------打開磁盤清理工具
2. chkdsk.exe-----Chkdsk磁盤檢查
檢查相關
1. dxdiag---------檢查DirectX信息
2. winver---------檢查Windows版本
3. sfc /scannow---掃描錯誤並復原
4. sfc.exe--------系統文件檢查器
0x04、常用的命令
net 相關
查看域中當前的主機列表:
net view /domain
查看當前域中的用戶
net user /domain
增加一個本地用戶
net user username password /add
將新增的用戶加到本地管理員組
net localgroup "Administrators" username /add
查看域中的密碼策略
net accounts /domain
查看本地組
net localgroup "Group"
查看域中的組信息
net group /domain
查看域中指定組的成員
net group "Domain group" /domain
查看當前機器所在的域名
net config workstation
查看當前服務器所在的域名
net config server
系統顯示相關
顯示系統信息
systeminfo
查看遠程主機的系統信息
systeminfo /S ip /U domain\user /P Pwd
顯示進程和服務信息
tasklist /svc
顯示所有進程以及DLL信息
tasklist /m
顯示進程和所有者
tasklist /v
查看遠程主機的進程列表
tasklist /S ip /v
顯示具體的服務信息(包括二進制路徑和運行使用)
sc qc Spooler
網絡信息
打印路由表
route print
保存當前主機上的所有WiFi信息
netsh wlan export profile folder=. key=clear
設置當前配置禁用防火牆
netsh advfirewall set currentprofile state off
設置端口轉發
netsh interface portproxy add v4tov4 listenport=3000 listenaddress=l.l.l.l connectport=4000 connectaddress=2.2.2.2
啟用遠程訪問
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
啟用遠程協助
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fAllowToGetHelp /t REG_DWORD /d 1 /f
修改遠程訪問端口
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d 12345 /f
一些工具
Procexp -----查看進程的詳細信息,比如 加載的 dll 文件、簽名、內存使用等
autoruns ----查看計划任務、自啟動、服務等信息
TCPView -----查看網絡連接的情況
PSExec ------輕量級的 telnet 工具
Registry Workshop:好用的注冊表工具
Event Log Explorer:查看系統日志