前言

現在搞安全也越來越卷了感覺，所以來學習一波應急響應，不論是甲方工作還是在乙方工作，這項技能都是能用得上的，所以感覺還不錯，學習起來，本篇文章問windows響應的基礎內容學習總結。

用戶安全檢測

查看是否存在弱口令，管理端口是否對外開放。

wmic useraccount get name,SID

可以檢測出影子用戶和注冊表隱藏的用戶（net user命令搜索容易漏過這些特殊用戶）

運行lsurmgr.msc可以進行查看

查看管理員分組有哪些用戶

net localgroup administrators

查看xxx用戶的創建時間和上?次登陸時間

net user xxx

進入C:/Users ?件夾，查看哪些用戶登陸了系統，以及黑客沒有清理干凈的惡意用戶。，要注意時間

查看服務器是否存在隱藏賬號、克隆賬號

• 打開注冊表 ，查看管理員對應鍵值。
• 使用D盾_web查殺工具，集成了對克隆賬號檢測的功能。

異常網絡鏈接查看

使用netstat -ano 進行查看網絡鏈接，查看是否存在異常的鏈接，比如主動發起的與外網的鏈接

如果發現異常鏈接的話，可以使用tasklist |findstr pid的方式對惡意程序進行定位，看看是哪一個惡意的程序發起的鏈接

例如

木馬心跳值檢測

異常的網絡鏈接不一定總是存在的，有時候是心跳值這種，可以使用LiveTcpUdpWatch對網絡情況進行查看（可后臺運行半小時查看結果），該軟件能記錄DNS請求（用于捕捉木馬心跳—非持續性連接的網絡進程），網絡連接等情況，通過遠程連接IP（流量獲取或者其他途徑）定位到木馬的PID。

全流量檢測

使用wireshark 進行全流量檢測，主要是盡可能多的收集攻擊者信息和潛在的木馬連接信息。

進程查看

個人推薦是使用ProcessExplorer,工具，可以進行查看簽名信息等，重點關注沒有簽名的進程信息；

PCHunter也比較好用，可以進行查看，信息比較全，可以同時看到進程名稱和程序路徑。

開始–運行–輸入msinfo32，依次點擊“軟件環境→正在運行任務”就可以查看到進程的詳細信息，比如進程路徑、進程ID、文件創建日期、啟動時間等。但是感覺還是不如工具實用。

查看進程是否存在問題可以從以下幾個方面進行查看

• 沒有簽名驗證信息的進程
• 沒有描述信息的進程
• 進程的屬主
• 進程的路徑是否合法
• CPU或內存資源占用長時間過高的進程

不方便使用外部命令的話可以使用,wmic 命令導入到一個文件中進行查看。

wmic process get caption,commandline,creationDate,executablepath,handle,handleCount > 1.txt

• caption：進程名；
• commandline：進程名、程序執行路徑、進程執行參數；
• creationDate：進程啟動時間（格式為：年月日時分秒）；
• executablepath：程序執行路徑；
• handle：進程pid；
• handleCount：該進程的父進程pid。

病毒查殺

webshell 查殺

D盾_Web查殺：http://www.d99net.net/index.asp

河馬webshell查殺：http://www.shellpub.com

病毒查殺

卡巴斯基：http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe （推薦理由：綠色版、最新病毒庫）

大蜘蛛：http://free.drweb.ru/download+cureit+free（推薦理由：掃描快、一次下載只能用1周，更新病毒庫）

火絨安全軟件：https://www.huorong.cn

360殺毒：http://sd.360.cn/download_center.html

操作痕跡

最近操作的文件
查看操作過的文件，但是不多，不全

C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Recent

進行C:/User/xxx/Recent目錄也能看到用戶最近頻繁操作的一些文件，但并不是所有操作，信息不夠全面

執行文件操作記錄
查看操作過的可執行文件的記錄，這個記錄在注冊表中，一般不會被刪除，使用AppCompatCacheParser.exe 工具，執行以下命令，在當前文件夾形成一個excle文件。

AppCompatCacheParser.exe --csv ./

瀏覽器瀏覽記錄查看

可以使用工具，也可以直接巴拉瀏覽器
近期所有瀏覽器的操作記錄使用BrowsingHistoryView?并查看，可以根據時間短對記錄進行篩選。

重點目錄檢查

這些路徑經常作為攻擊者內網滲透的臨時工作目錄，以及木馬啟動、解壓路徑可以重點檢查。

C:\Perflogs\ C:\Perflogs\admin\ C:\ProgramData\ C:\Users\Public\ C:\Users\當前用戶\ C:\Windows\Temp\ C:\Users\當前用戶\AppData\Roaming\ C:\Users\當前用戶\AppData\Local\Temp\ C:\Users\當前用戶\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp

持久化檢測

啟動項

登錄服務器，單擊【開始】>【所有程序】>【啟動】，默認情況下此目錄在是一個空目錄，確認是否有非業務程序在該目錄下。
一般來講路徑

C:\Users\當前用戶\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\StartupC:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp

單擊開始菜單 >【運行】，輸入 msconfig，查看是否存在命名異常的啟動項目，是則取消勾選命名異常的啟動項目，并到命令中顯示的路徑刪除文件。
單擊【開始】>【運行】，輸入 regedit，打開注冊表，查看開機啟動項是否正常，特別注意如下三個注冊表項，檢查右側是否有啟動異常的項目，如有請刪除，并建議安裝殺毒軟件進行病毒查殺，清除殘留病毒或木馬。

HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

利用安全軟件查看啟動項、開機時間管理等。
組策略，運行gpedit.msc

計劃任務

單擊【開始】>【設置】>【控制面板】>【任務計劃】，查看計劃任務屬性，便可以發現木馬文件的路徑。

單擊【開始】>【運行】；輸入 cmd，然后輸入at（新版系統使用schtasks），檢查計算機與網絡上的其它計算機之間的會話或計劃任務，如有，則確認是否為正常連接。

映像劫持檢測（Shift后門）

修改注冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下sethc.exe，添加一個Debugger字符值（REG_SZ），并且賦值為cmd.exe的執行路徑為C:\windows\system32\cmd.exe

服務檢查

win +r 執行services.msc 查看異常的自啟項

也可以使用autoruns進行查看

日志檢查

Windows日志

查看windows日志，說白了也就主要看看登錄情況，最常見的也就是rdp 登錄和IPC 登錄兩種情況。

windows 日志中登錄類型代表的含義，重點關注以下紅框框里面的三個，網絡就是IPC的地址，網絡明文的話有ftp,telent等，遠程交互就是直接遠程連接上的那種。

常見日志審計中事件ID 代表的含義

可以使用WinLogView工具，會列出系統中所有曾經登陸過的主機，包含本地登陸和遠程登陸，針對原有的用戶需要注意用戶的登陸時間段是否在工作時間段內。

使用FullEventLogView批量加載主機日志，還能進行篩選，還算比較好用.

Log Parser 使用

使用前先將日志導出

基本查詢結構

Logparser.exe –i:EVT –o:DATAGRID "SELECT * FROM E:\logparser\xx.evtx"

這是一則基本的查詢，輸入格式是EVT（事件），輸出格式是DATAGRID（網格），然后是SQL語句，查詢E:\logparser\xx.evtx的所有字段，結果呈現為網格的形式；

下面舉兩個示例

LogParser.exe -i:EVT -o:DATAGRID "SELECT * FROM E:\event.evtx where EventID=4624" //查詢登錄成功的事情LogParser.exe -i:EVT -o:DATAGRID "SELECT * FROM e:\event.evtx where TimeGenerated>'2019-06-19 23:32:11' and TimeGenerated<'2019-11-20 23:34:00' and EventID=4624" //查詢指定范圍內登錄成功。

查詢成功后的結果

WEB日志

找到中間件的web日志，打包到本地方便進行分析。

推薦工具：Window下，推薦用 EmEditor 進行日志分析，支持大文本，搜索效率還不錯。

重點，找到關鍵事件節點進行篩選，先找到WEBshell，根據上傳時間，進行縮小范圍的檢索，一定要一步步的縮小范圍，不然太多太雜了。

---

工具

LiveTcpUdpWatch：可以記錄運行時間內的發起連接的記錄，可以發現木馬心跳值

ProcessExplorer、PCHunter,查看進程、調用的dll 等信息

autorun :可以查看服務、計劃任務等。

winlogonview：查看最近登錄的主機、賬號等信息。

AppCompatCacheParser：可以查看對可執行文件的操作記錄

FullEventLogView：查看系統日志

Log Parser 查看系統日志

EmEditor：在windows 平臺下查看web日志

BrowsingHistoryView：查看瀏覽器瀏覽記錄

參考

https://blog.csdn.net/wrsharper/article/details/80846676
https://blog.csdn.net/m0_37552052/article/details/90287476
http://sh1yan.top/2019/06/29/Principle-and-Practice-of-COM-Component-Hijacking/
https://mp.weixin.qq.com/s?__biz=MzkxNTE3MTY5OQ==&mid=2247493581&idx=1&sn=4d055b5e0d37efa47974803891e7e829&scene=21#wechat_redirect
https://bypass007.github.io/Emergency-Response-Notes/Summary/%E7%AC%AC1%E7%AF%87%EF%BC%9AWindow%E5%85%A5%E4%BE%B5%E6%8E%92%E6%9F%A5.html
https://blog.csdn.net/qq_38684504/article/details/103152214

總結

以上是生活随笔為你收集整理的windows环境下的基础应急响应知识的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。