windows應急響應常見檢查點

1.用戶賬號和組審計

1)描述：黑客通常對系統進行入侵后會添加后門賬號，所以需要審計用戶和組是否有被篡改的痕跡。

2)命令：lusrmgr.exe

3)檢查方法：查看是否有可疑的用戶名被創建，檢查是否administrators組里有可疑的賬戶被授權。

2.自啟動配置審計

1)描述：黑客修改自啟動配置通常可以在系統啟動之后加載黑客自定義腳本。

2)命令：msconfig.exe 或 wmic start up list full

3)檢查方法：檢查自啟動程序信息，如非常規應用程序則需要定位程序位置，可配合360殺毒工具檢查。

3.異常進程審計

1)描述：進程往往都是應急響應主要關注點之一，黑客維持對外通信都會在被入侵主機中打開獨立進程，進程名經常會帶迷惑性，例如svch0st.exe(應為

svchost.exe)或exp1orer.exe(應為explorer.exe)。

2)命令：taskmgr.exe中進程菜單或tasklist.exe

3)檢查方法：仔細排查容易被木馬感染的系統進程，定位進程源程序位置，可配合360殺毒工具進行查殺，對不確定的其他進程通過google查詢進程功能，

有概率會獲得惡意程序的威脅情報。

4.異常服務審計

1)描述：windows服務類似Linux的守護進程，黑客通過惡意程序創建自定義服務達成可持續控制肉雞的目的。

2)命令：services.msc

3)檢查方法：對windows系統常規服務進行了解，識別病毒經常創建服務的命名規則，例如：“xxxUpdate”帶有這類關鍵字。小技巧：查看指定系統服務

的屬性，看服務描述，如果服務描述很少或者比較非官方的語言，一般比較可疑。或者查看依存關系，針對使用RPC(Remote Procedure Call)的服務要重點

關注。

5.計劃任務審計

1)描述：計劃任務是計算機周期性執行的一系列操作的管理程序，黑客也會增加自定義計劃任務來檢測連接心跳或者發動DoS攻擊等行為。

2)命令：schtasks.exe或者在控制面板>計劃任務中找到GUI模式

3)檢查方法：了解系統程序自帶的計劃任務，查看任務對應的文件夾，對照任務創建時間，釋放文件等信息來判斷是否是惡意計劃任務。

6.系統運行狀態審計

1)描述：病毒木馬一般情況下會使系統CPU、內存、磁盤讀寫、網絡IO的利用率變高，通過監控系統狀態可以發現潛在的惡意程序。

2)命令：taskmgr.exe

3)檢查方法：查看任務管理器中性能菜單，跟蹤單位時間內CPU、內存、磁盤、網絡運行情況，并打開監視器配合檢查。

7.用戶會話審計

1)描述：黑客通過3389登錄系統會創建用戶session，通過審計session查看是否有攻擊者進行遠程登錄。

2)命令：query user

3)檢查方法：輸入命令查看是否會話異常，是否存在可疑的用戶會話狀態。

8.網絡連接審計

1)描述：審計網絡連接可以發現攻擊者來源IP，以及開放端口、進程等信息。

2)命令：netstat -ano

3)檢查方法：輸入命令檢查是否存在外部可疑IP處于“ESTABLISTHED”狀態。

9.本地共享審計

1)描述：早期黑客攻擊利用經典IPC$的攻擊方式批量植入肉雞。

2)命令：net share和net use

3)檢查方法：輸入net share檢查本地開放了哪些共享，輸入net use檢查是否存在被映射的網絡連接。

10.組策略審計

1)描述：是微軟Windows NT家族操作系統的一個特性，它可以控制用戶帳戶和計算機帳戶的工作環境。組策略提供了操作系統、應用程序和活動目錄中用

戶設置的集中化管理和配置。組策略的其中一個版本名為本地組策略（縮寫“LGPO”或“LocalGPO”），這可以在獨立且非域的計算機上管理組策略對

象。。

2)命令：gpedit.msc

3)檢查方法：打開組策略面板，重點查看計算機配置和用戶配置中的腳本子菜單，查看是否加載powershell腳本，分析腳本內容判斷是否異常等。

敏感事件id:
4624 登錄成功
4625 登錄失敗
4634 注銷成功
4647 用戶啟動的注銷
4672 使用超級用戶/管理員用戶進行登錄
4720 創建用戶
4697 7045 PsExec

11.日志審計

1)描述：windows日志包含系統日志，安全日志、應用日志等，通常通過windows內置的事件查看器查詢。

2)命令：eventvwr

3)檢查方法：打開windows日志查看器，根據安全事件發生時間區間篩選windows日志，一般重點查看“安全”、“應用”日志，黑客執行的惡意命令多

數被記錄在這兩個日志中。

一般情況下windows自帶日志查看器顯示不是很友好且不便于分析，所以通常配合日志解析工具LogParser.exe，可在微軟官網下載對應的32或64位版本。

安裝好之后可以像操作數據庫一樣查詢日志信息。

由于路徑問題往往將默認日志位置c:\Windows\system32\winevt\Logs\的日志文件拷貝到C盤根目錄中分析：

12.注冊表審計

1)描述：windows中注冊表是存儲系統和應用的設置信息數據庫，通過鍵值對來配置。

2)命令：regedit.exe

3)檢查方法：輸入命令打開注冊表程序，手工檢查指定路徑下的注冊表鍵值或者配合殺毒軟件檢查。

例如：

\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run看系統哪些程序自啟動

\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System檢查EnableLUA的值（0：關閉UAC，1：啟動UAC）

\HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SessionManager下查看是否存在ExcludeFromKnownDlls，如果存在值存在lpk.dll、

usp10.dll、msimg32.dll、midimap.dll、ksuser.dll、comres.dll、ddraw.dll這些dll，則判斷異常。