攻击溯源的排查范围

地球胖头鱼 2020-12-31
Web安全 发布于 2020-12-31 14:02:54 阅读 965 评论 0

前言

在系统被入侵后,需要迅速梳理出黑客的攻击路径,本文总结windows系统攻击溯源过程中必要的排查范围。

排查项目

用户

query user

查看系统中所有用户

1. net user
2. 开始-运行-lusrmgr.msc
3.查看C:\Users目录排查是否新建用户目录,如果存在则排查对应用户的download和desktop目录是否有可疑文件

查看是否存在隐藏账号,克隆账号

开始-运行-regedit
查看HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users中是否有异常

启动项

注册表查看启动项

\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

命令行查看启动项

wmic startup list full

组策略中查看启动

运行-gpedit.msc

Recent目录

此目录可以看到程序或文件最后被打开和使用的日期时间。

C:\Users\Administrator\Recent

windows日志

安全日志

计算机-管理-事件查看器-windows日志-安全(或eventvwr.msc)

根据时间排查安全日志里的登录事件,用户创建等事件情况

着重寻找登录事件(ID4624)且登录类型为3和10等远程登录方式

windows安全日志文件:

C:\Windows\System32\winevt\Logs\Security.evtx 查看其大小是否为20M左右,若远远小于20M则有可能被清理过

系统日志

计算机-管理-事件查看器-windows日志-系统

查看恶意进程的运行状态时间等

排查可疑进程

查看可疑网络连接

netstat -b -n

根据网络连接寻找pid

netstat -ano | findstr xxx

根据pid寻找进程

tasklist | findstr xxx

杀死可疑进程

taskkill /T /F /PID xxxx

排查计划任务

schtasks /query /fo table /v

运行-taskschd.msc

排查系统服务

运行-service.msc

工具使用

PECmd

使用PECmd导出最近活动项目

LastActivityView

使用LastActivityView图形化工具查看最近活动项目

msc
本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!
地球胖头鱼
未填写
  • 作者发布文章177
  • 作者收获粉丝6
  • 作者收到点赞0
  • 所有文章被收藏了1
  • 博客总访问量排行第2
  • 博客总访问量2.8 万(每日更新)
查看所有博文