ICode9
精准搜索请尝试: 精确搜索
首页
编程语言>
数据库
系统相关
互联网
其他分享
Python
Java
JavaScript
android
PHP
首页 > 系统相关> 文章详细

WinDows应急响应基础

2019-11-05 14:52:55  阅读:302  来源: 互联网

标签:http log WinDows 响应 https 进程 日志 应急 com


文件排查

开机启动有无异常文件

msconfig

1572850369183

敏感的文件路径

%WINDIR%
%WINDIR%\SYSTEM32\
%TEMP%
%LOCALAPPDATA%
%APPDATA%

  • 用户目录

    新建账号会在这个目录生成一个用户目录,查看是否有新建用户目录
    Window 2003 C:\Documents and Settings
    Window 2008R2 C:\Users

  • 回收站
  • 浏览器下载记录/目录

  • 浏览器历史记录

    文件排查

  • 临时文件目录

    各个盘下的temp(tmp)相关目录下查看有无异常文件:windows产生的临时文件
    1572850645111

  • 最近使用项目

    Recent是系统文件夹,里面存放着最近使用的文档的快捷方式,查看用户recent相关文件,通过分析最近打开的可疑文件分析
    开始-运行-%userprofile%\recent
    windows10 C:\Users\用户名\AppData\Roaming\Microsoft\Windows\Recent

  • 文件搜索/排序

    根据文件夹内文件列表时间进行排序,查找可疑文件,当然也可以搜索指定日期范围的文件
    1572851603455

  • 文件时间

    创建时间,修改时间,访问时间,黑客通过菜刀类工具改变的是修改时间,所以,如果修改时间在创建时间之前明显是可疑文件
    1572851801722

    进程排查

    网络连接 netstat

    netstat [参数] 查看网络连接状况
    | 参数| 作用|
    | ----| ----|
    | -b| 显示在创建每个连接或监听端口时涉及的可执行程序,
    需要管理员权限,这条指令对于查找可以程序非常有帮助|
    | -a| 显示所有网络连接,路由表和网络接口信息|
    | -n| 以数字形式显示地址和端口号|
    | -o| 显示与每个连接相关的所属进程ID|
    | -r| 显示路由表|
    | -s| 显示按协议统计信息,默认地,显示IP|
    常见状态说明
    | 状态| 解释|
    | ----| ----|
    | LISTENING| 监听状态|
    | ESTABLISHED| 建立连接|
    | CLOSE_WAIT| 对方主动关闭连接或者网络异常导致连接中断|
    1572852646203

    显示进程 tasklist

    TASKLIST [/S system [/U username [/P [password]]]] [/M [module] | /SVC | /V] [/FI filter] [/FO format] [/NH] 显示运行在本地或远程计算机上的所有进程

    根据netstat定位出的pid,再通过tasklist命令进行进程定位,
    tasklist | findstr pid
    tasklist /svc 显示 进程-PID-服务

    wmic

    wmic process 获取进程的全路径 wmic process | findstr "程序名"
    | 作用| 命令示例|
    | ----| ----|
    | 查询进程| wmic process(带有cmdline)
    wmic process list brief
    | wmic process where name="xxx" get executablepath|
    | 删除进程| wmic process where processid="2345" delete|
    | 查询服务| wmic SERVICE(涵盖服务关联所有信息)
    wmic SERVICE where caption(name)="xxx" call stopservice
    wmic service where caption(name)="xxx" call delete|
    | 启动项枚举| wmic startup list full|
    | 计划任务枚举| schtasks /query /fo table /v (执行前先执行chcp 437)|



    msinfo32

    开始-运行-msinfo32
    1572927245229

    任务管理器

    任务管理器-查看-选择列-PID
    1572855218758
    1572927423325

    系统信息排查

    环境变量

    我的电脑-属性-高级系统设置-高级-环境变量
    1572857650151

    计划任务

程序-附件-系统工具-任务计划程序
开始-运行-compmgmt.msc
开始-设置-控制面板-任务计划
开始-运行-cmd-at

1572858105348

启动项

  • 开始-所有程序-启动

    此目录默认情况下是个空目录

  • gpedit.msc 组策略
    1572927800889

    服务自启动

  • service.msc

    开始-运行-service.msc

    账号信息(隐藏账号等)

开始-运行-compmgmt.msc-本地用户和组-用户    用户名以$结尾的为隐藏用户
net user [username] 查看用户信息
lusrmgr.msc

克隆账号

  • 打开注册表,查看管理员对应键值

    注册表项:

  • 使用D盾WEB查杀工具,集成了对克隆账号检测的功能
    1572923693986

    query user

    query user 查看当前系统的会话
    1572858598618

    logoff

    logoff ID 踢出用户

    systeminfo

    systeminfo 查看系统信息,系统版本,补丁信息等
    https://github.com/neargle/win-powerup-exp-index

    日志排查

    windows登陆日志排查

    eventnwr.msc - windows日志 - 安全 打开事件查看器
    1572921561439
  • 主要分析安全日志,可以借助自带的筛选功能
    1572921653790
    1572921668669
  • 使用Log Parser分析导出的windows安全日志
    1572924021327

  • 可以把日志导出为文本格式,然后使用notepad++打开,使用正则模式去匹配远程登录过的IP地址,在界定事件日期范围的基础
    ((?:(?:25[0-5]| 2[0-4]\d| ((1\d{2})| ([1-9]?\d))).){3}(?:25[0-5]| 2[0-4]\d| ((1\d{2})| ([19]?\d)))) 正则

    中间件日志(web日志access_log)

    默认中间件日志路径

  • nginx

    Nginx/logs/

  • apache

    Apache/logs/

  • iis

    iis6:C:\windows\system32\LogFiles(iis管理器-网站-属性-网站-属性-日志记录属性)
    iis7.5+:%SystemDrive%\inetpub\logs\LogFiles(iis管理器-网站-站点-日志-)

  • tomcat

    tomcat/logs/
    | 文件| 说明|
    | ----| ----|
    | localhost_access_log.日期.txt| tomcat的请求的所有地址以及请求的路径、时间,请求协议以及返回码等信息(重要)|
    | catalina.日期.log| Cataline引擎的日志文件|
    | commons-daemon.日期.log| 利用服务方式启动tomcat作为守护进程的日志记录|
    | host-manager.日期.log| tomcat的自带的manager项目的日志信息|
    | tomcat7-stderr.日期.log| log4j的错误日志|
    | tomcat7-stdout.日期.log| 程序中的System语句打印的日志(包括系统抛出的异常)|

  • jboss

  • weblogic

    {jboss.server.log.dir}/server.log,如:D:\jboss-eap-4.3\jboss-as\server\slim\log\server.log
    修改配置文件jboss-log4j.xml()更改默认日志路径,如:jboss-eap-4.3\jboss-as\server<server_name>\conf\jboss-log4j.xml
    默认配置情况下,WebLogic会有三种日志,分别是access log, Server log和domain log
    WebLogic 8.x 和 9及以后的版本目录结构有所不同。
    WebLogic 9及以后版本:
    access log在 $MW_HOME\user_projects\domains<domain_name>\servers<server_name>\logs\access.log
    server log在 $MW_HOME\user_projects\domains<domain_name>\servers<server_name>\logs<server_name>.log
    domain log在 $MW_HOME\user_projects\domains<domain_name>\servers<adminserver_name>\logs<domain_name>.log
    WebLogic 8.x 版本:
    access log在 $MW_HOME\user_projects\domains<domain_name><server_name>\access.log
    server log在 $MW_HOME\user_projects\domains<domain_name><server_name><server_name>.log
    domain log在 $MW_HOME\user_projects\domains<domain_name><domain_name>.log
    其中:
    $MW_HOME是WebLogic的安装目录
    是域的实际名称,是在创建域的时候指定的
    是Server的实际名称,是在创建Server的时候指定的
    是Admin Server的实际名称,是在创建Admin Server的时候指定的

  • websphere

    IBM\WebSphere\AppServer\profiles\AppSrv01\logs\server1\SystemOut.log

    工具排查

    Microsoft NetWork Monitor 一款轻量级网络协议数据分析工具

    1572919008029

    PC Hunter

    颜色 解释
    黑色 微软签名的驱动程序
    蓝色 非微软签名的驱动程序
    红色 驱动检测到的可以对象
    隐藏服务,进程,被挂钩函数

    1572918951580

    ProcessExplorer windows系统和应用程序监视工具

  • 子父进程一目了然

  • 属性中的关键信息:

    映象]->[路径/命令行/工作目录/自启动位置/父进程/用户/启动时间]
    [TCP/IP]
    [安全]->[权限]

  • 想了解不同颜色意思?[选项]->[配置颜色]
    1572918918938

    Procexp是常用的进程查看工具

  • 打开procexp,在标题栏右键,可以勾选其它一些选项卡
  • 进程标识颜色不同是用于区分进程状态和进程类型,进程开始启动时为绿色,结束时为红色

  • 可对某个进程进行操作,右键单击即可
    1572918827284
    1572918866016

    Scylla_x86/x64是一款常用的PE工具,用于修复PE的IAT表及内存转储

    下载地址:https://down.52pojie.cn/Tools/PEtools/Scylla.v.0.9.8.rar

  • 在附加进程栏喧杂要附加的进程

  • 选择好后,找到页面的dump按钮(中文版为"转储到文件"),即可将内存dump到本地
    1572918757893

    Registry Workshop 注册表编辑器

    利用 Registry Workshop 注册表编辑器的搜索功能,可以找到最后写入时间区间的文件
    1572930991429

    其它工具

    病毒分析

    PCHunter:http://www.xuetr.com
    火绒剑:https://www.huorong.cn
    Process Explorer:https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer
    processhacker:https://processhacker.sourceforge.io/downloads.php
    autoruns:https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns
    OTL:https://www.bleepingcomputer.com/download/otl/
    SysInspector:http://download.eset.com.cn/download/detail/?product=sysinspector

    病毒查杀

    卡巴斯基:http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe (推荐理由:绿色版、最新病毒库)
    大蜘蛛:http://free.drweb.r u/download+cureit+free(推荐理由:扫描快、一次下载只能用1周,更新病毒库)
    火绒安全软件:https://www.huorong.cn
    360杀毒:http://sd.360.cn/download_center.html

    病毒动态

    CVERC-国家计算机病毒应急处理中心:http://www.cverc.org.cn
    微步在线威胁情报社区:https://x.threatbook.cn
    火绒安全论坛:http://bbs.huorong.cn/forum-59-1.html
    爱毒霸社区:http://bbs.duba.net
    腾讯电脑管家:http://bbs.guanjia.qq.com/forum-2-1.html

在线病毒扫描网站

http://www.virscan.org //多引擎在线病毒扫描网 v1.02,当前支持 41 款杀毒引擎
https://habo.qq.com //腾讯哈勃分析系统
https://virusscan.jotti.org //Jotti恶意软件扫描系统
http://www.scanvir.com //针对计算机病毒、手机病毒、可疑文件等进行检测分析

webshell查杀

D盾_Web查杀:http://www.d99net.net/index.asp
河马webshell查杀:http://www.shellpub.com
深信服Webshell网站后门检测工具:http://edr.sangfor.com.cn/backdoor_detection.html
Safe3:http://www.uusec.com/webshell.zip

标签:http,log,WinDows,响应,https,进程,日志,应急,com
来源: https://www.cnblogs.com/mrhonest/p/11798381.html

本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享;
2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关;
3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关;
4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除;
5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。

关于我们 | 联系我们 | 留言反馈

专注分享技术,共同学习,共同进步。侵权联系[81616952@qq.com]

Copyright (C)ICode9.com, All Rights Reserved.

ICode9版权所有