碼上歡樂
相關內容    簡體    繁體

3.windows分析排查

本文轉載自   查看原文   2021-12-20 18:46   103    應急響應

0x01. 環境准備

安裝一個windows server 2008 R2 虛擬機 , 至少 2+40 , 選擇Enterprise(完全安裝) , 然后點擊自定義 , 下一步

image-20210327101317473

調出桌面圖標 , 在搜索中輸入圖標/icon

image-20210327104954366

安裝vmtools , 關機做快照

0x02. 文件分析

2.1 分析排查介紹

所謂的windows分析排查就是指針對windows系統中的文件、進程、系統信息、日志記錄等進行檢測,挖掘windows系統中是否存在異常情況

目的 : 保護Windows系統安全

2.2 文件分析-開機啟動文件

一般情況下,各種木馬病毒等惡意程序,都會在計算機開機啟動的過程中自啟動

在windows系統中可以通過以下三種方式查看開機啟動項

  1. 利用操作系統中的啟動菜單

    C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
                  當前用戶名

    image-20210327105534141

    快捷方式 : 開始 --> 啟動 --> 瀏覽

    image-20210327105854310

  2. 利用系統配置msconfig ms代表微軟 , config是配置

    image-20210327105655156

  3. 利用注冊表regedit

    計算機\HKEY_LDCAL_MACHLNE\SOFTHARE\Microsoft\Windows\CurrentVersion\Run
計算機\HKEY_CURRENT_USER\SOFTHARE\Microsoft\Windows\CurrentVersion\Run

這個兩個都可以添加開機啟動文件

    其中在注冊表中新建啟動文件,在msconfig中是可以看到的,但是在啟動文件夾中不顯示的

實驗 : 扔一個cs木馬試試是否開機自啟

2.3 文件分析-temp臨時異常文件

temp(臨時文件夾) , 位於C:\Users\ADMINI~1\AppData\Local\Temp內。很多臨時文件放在這里,用於收藏夾,瀏覽網頁的臨時文件,編輯文件等 , \ADMINI~1是win的一種縮寫表示 , 全稱 ADMINISTRATOR

win + r 輸入 : %temp%即可打開temp文件夾

查看temp文件夾發現PE文件( exe , dll , sys ) , 或者是否具有特別大的tmp文件

PE文件指的是在windows操作系統中可以執行的文件,不僅僅只有exe文件

為什么temp文件夾是黑客可能攻擊的文件夾呢?

temp文件夾的特殊
1.Temp文件夾位於RAMDISK上。與通常的磁盤文件系統相比,這使寫入操作和文件操作快得多。
2.Temp文件夾對當前登錄用戶具有讀寫訪問權限,即完全控制權限
所以惡意程序在傳播的時候向temp文件夾中是一定可以寫入的

可疑文件的在線查殺

https://www.virustotal.com/     國外網站
https://www.virscan.org/          國內網站

2.4 文件分析-瀏覽器信息分析

在被黑客拿下的服務器 , 很有可能會使用瀏覽器進行網站的訪問。因此我們可以查看瀏覽器記錄 , 探索瀏覽器是否被使用下載惡意代碼

瀏覽器瀏覽痕跡查看 , 黑客可能瀏覽器了某些頁面

IE瀏覽器 工具-->瀏覽器欄-->歷史記錄

image-20210327143617452

實際上服務器是用來提供服務的,所以你打開瀏覽器會有一個安全提示

瀏覽器文件下載記錄查看 , 黑客很有可能通過瀏覽器下載一些自己惡意文件

瀏覽器Cookie信息查看 , 這個也很關鍵

工具下載地址 :

https://download.nirsoft.net/nirsoft_package_enc_1.23.17.zip

2.5 文件分析-文件時間屬性分析

在windows系統下 , 文件屬性的時間屬性具有: 創建時間 , 修改時間 , 訪問時間 ( 默認情況下禁用 )

默認情況下 , 計算機是以修改時間作為展示的

image-20210327153852369

點擊文件 , 右鍵屬性

image-20210327153922096

如果修改時間要早於創建時間那么這個文件存在很大可疑??? 使用中國菜刀等工具修改的修改時間

通過文件屬性可以查看到創建時間 , 修改時間 , 以及訪問時間

小實驗 : 菜刀修改文件的修改時間

在搭建好的網站上上傳一個1.asp一句話木馬

image-20210327154746549

打開菜刀連接一句話木馬

image-20210327154812674

修改文件的修改時間

image-20210327155112116

在虛擬機上查看文件的時間屬性 , 我的盡然沒修改成功 , 有點奇怪

image-20210327155502324

2.6 文件分析-最近打開文件分析

Windows系統中默認記錄系統中最近打開使用的文件信息

可以在目錄 C:\Users\Administrator\Recent下查看,也可以使用 win + r 打開運行輸入%UserProfile%\Recent查看 , 然后利用windows中的篩選條件查看 具體的時間范圍的文件

image-20210327161413055

使用命令查看最近打開文件內容中是否有eval這樣的關鍵字

find /?    查看find這個命令的幫助信息

image-20210327161711724

find /C /N /I "eval" C:\inetpub\wwwroot\XYCMS\1.asp

image-20210327161843649

存在的話就顯示1 , 不存在就顯示0 , 感覺有點雞肋 不如用工具打開 搜索

0x03. 進程分析

3.1 進程分析-可疑進程發現和關閉

計算機與外部網絡通信是建立在TCP或UDP協議上的 , 並且每一次通信都是具有不同的端口 ( 0-66535 ) , 如果計算機被木馬后 , 肯定會與外部網絡通信 , 那么此時就可以通過網絡連接狀態, 找到對應的進程ID , 然后關閉進程ID就可以關閉連接狀態

netstat -ano

image-20210327164559432

netstat -ano | find "ESTABLISHED"      查看網路建立連接狀態              ( 區分大小寫 )tasklist /svc | find "PID"                        查看具體PID進程對應的程序taskkill /PID pid值 /T  /F                        強制關閉進程及其開啟的子進程

關於tcp連接狀態介紹

LISTENING : 表示處於監聽狀態,就是說該端口是開放的,等待連接,但還沒有被連接ESTABLISHED : 表示已經建立連接,表面兩台機器正在通信FIN_WAIT_1 : 表示服務器端主動請求關閉TCP連接,並且主動發送FIN之后,等待客戶端回復ACK的狀態。FIN_WAIT_2 : 表示客戶端主動請求關閉TCP連接,並且主動發送FIN之后,等待服務器端回復ACK的狀態。TIME_WAIT  : 表示結束了這次連接,說明曾經訪問過,但是現在訪問結束了CLOSING:等待遠程TCP對連接中斷的確認CLOSED:沒有任何連接狀態

實驗 : 用kali中的msf , 通過ms17010建立與win2k8的會話連接

image-20210327170931999

win2k8查看端口連接

netstat -ano | find "ESTABLISHED"

image-20210327171022426

4444端口很可疑 , 找到pid為956對應的進程程序

tasklist /svc | find "956"

image-20210327171200745

命令強制關閉進程或者應用管理器中停掉

taskkill /PID 956 /T /F

image-20210327171325102

查看kali里面的session會話 , 已關閉 , 此時黑客就無法繼續控制我們的電腦了

image-20210327171354352

這里是命令查看 , 但是一般用工具比較快捷 , XueTr工具 , 找到異常的網絡連接 , 查看進程並關閉 , 找到對應的程序 , 刪除程序文件, 十分推薦

0x04. 系統分析

4.1 系統信息-windows計划任務

在計算機中可以通過設定計划任務 , 在固定時間執行固定的操作 , 一般情況下 , 惡意代碼也有可能在固定的時間設置執行.

使用at命令可以對計划任務進行管理, 直接輸入at可以查看當前計算機中保存的計划任務

image-20210327172217652

當然也可以在可視化的計划任務管理器中進行管理

開始-->管理工具-->計划任務程序

image-20210327173926855

4.2 系統信息-隱藏賬號發現與刪除

隱藏賬號, 是指黑客入侵之后為了能夠持久保持對計算機訪問 , 而在計算機系統中建立的不輕易被發現的計算機賬號,有人也稱他們為"影子賬號"

最為簡單的隱藏賬號的建立

net user test$ root.com123 /add && net localgroup administrators test$ /add其中$符號可以導致系統管理員在使用net user時 無法查看到test$用戶

image-20210327175852442

但是在本地用戶管理和組中能查看到

image-20210327180547800

還有一種更加隱藏的方式是通過注冊表添加用戶 , 注冊表相當於一個數據庫 , 保存着系統相關的信息

這樣新建的隱藏用戶在本地用戶和組中是不顯示的

1.使用新建一個隱藏賬號

net user test$ root.com123 /add

2.再點“開始”→“運行”並輸入"regedit.exe" 回車,啟動注冊表編輯器regedit.exe。 打開鍵:HKEY_LOCAL_MAICHINE\SAM\SAM\Domains\account\user\names\test$",默認是打不開的,需要修改權限

3.將項test$、000003ec、000001F4導出為test.reg、3ec.reg、1f4.reg,用記事本分別打這幾個導出的文件進行編輯,將超級用戶對應的項000001F4下的鍵"F"的值復制,並覆蓋test$對應的項000003ec下的鍵"F"的值,然后再將000003ec.reg與test.reg合並到000003ec.reg

4.刪除test$賬號 net user test$ /del

5.把000003ec.reg導入到注冊表中

6.在注冊表窗口內把HKEY_LOCAL_MACHINE\SAM\SAM鍵權限改回原來的樣子

至此隱藏超級賬號就創建好了,實際上的原理就是通過注冊表新建賬號,繞過本地用戶和組記錄賬號信息,但是我測試的不同兩台機器同時登陸管理員賬號會讓另一個下線,所以不如直接新建添加到管理員,然后從注冊表導出,刪除賬號,再導入注冊表,ok

所以說要查是否有后門賬號,直接去注冊表中查,其他的都不准

4.3 系統信息-補丁查看與更新

windows系統支持補丁以修補漏洞。可以使用sysyteminfo查看系統信息,並展示對應的系統補丁信息編號。也可以在卸載軟件中查看系統補丁和第三方軟件補丁

image-20210327203946920

在win10中打開控制面板-->程序-->查看已安裝的更新

image-20210327204736698

0x05. 網站webshell查殺

D盾_防火牆專為IIS設計的一個主動防御的保護軟件, 以內外保護的方式, 防止網站和服務器給入侵, 在正常運行各類網站的情況下,越少的功能, 服務器越安全的理念而設計! 限制了常見的入侵方法, 讓服務器更安全

image-20210327210550895

查殺到木馬后直接右鍵打開文件的位置, 刪除木馬再次查殺直到無木馬

除了asp的木馬,php的木馬D盾也可以查殺, 功能很強大還可以查看克隆賬號等

0x06. windows日志分析

6.1 windows審核

開啟審核策略, 若日后系統出現故障, 安全事故則可以查看系統的日志文件, 排除故障, 追查入侵者的信息等

win2k8: 開始->管理工具->本地安全策略->本地策略->審核策略

image-20210328212906052

Widows系統日志查看方式, 在windows系統中可以使用以下兩種方法打開日志管理器查看系統日志

1.開始-->管理工具-->事件查看器2.win + r 打開運行, 輸入"eventvwr.msc", 回車運行, 打開"事件查看器"

image-20210328213435997

windows系統日志篩選

在windows系統中日志


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 網絡安全實驗二:3.windows日志查看與清理 負載(Load)分析及問題排查 Nginx 日志分析及性能排查 Nginx 日志分析及性能排查 windows服務1053錯誤排查 Linux系統及應用問題分析排查工具 SQLSERVER 數據庫死鎖的分析,排查 Windows Azure Services安裝及故障排查 Linux系統故障分析與排查--日志分析 網站打開太慢可能性及排查分析
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM