Windows系統入侵排查與應急響應技術

文章目錄

• 前言
• 入侵排查
• 系統賬戶排查
• 進程端口排查
• 啟動項的排查
• 計劃服務排查
• 系統信息排查
• 日志信息排查
• 應急工具
• 總結

入侵排查

系統賬戶排查

查看系統是否存在可疑賬號，黑客入侵的時候常常喜歡創建隱藏賬號。

1、使用net user命令查看系統賬戶信息（但此方法不能查看到隱藏賬號）：

2、進一步執行命令 net user xx查看 xx 用戶詳細信息，注意 guest 用戶是否啟用，很多情況下狡猾的紅隊并不會添加用戶，而是啟用 guest 用戶：

3、執行命令net user hacker$ 123456 /add創建了一個隱藏的賬號 hacker（賬號名以$結尾的為隱藏賬號），net user是查看不到隱藏賬號的：

4、運行 Win+R--->lusrmgr.msc，通過本地用戶和組的管理頁面（或者“計算機管理”）的可以查看到隱藏賬戶：

尷尬……我的家庭版 Win10 不支持，那改用 Win10 專業版虛擬機：

5、刪除可疑賬戶（net user hacker$ /del）：

進程端口排查

先匯總下相關命令：

netstat -ano   #查看所有網絡連接及其PID
netstat -ano | findstr 443  #過濾特定端口的網絡連接
netstat -ano | findstr TCP  #過濾TCP連接
tasklist | findstr 18544    #查看PID為18544的進程
taskkill /F /pid 18544      #強制結束進程

1、使用命令netstat -ano查看目前的網絡連接，定位可疑的 ESTABLISHED 連接，執行結果里面的 443 端口的連接一般是瀏覽器正在訪問網頁，但是下面這個外網的 8001 端口的連接就不正常了：

實際上這里是我使用了 CS 的 Backdoor 在 Win10 虛擬機上運行后建立的網絡連接（找到主機一個異常的對外連接，對不確認的 IP 可以去微步查看是否威脅情報）：

2、接下來使用tasklist | findstr 3232查找 PID=3232 的進程名稱：

3、上面雖然找到進程名稱，但是無法判斷 Backdoor 文件的路徑，故建議采用另一種方法，Windows+R+輸入msinfo32，打開“系統信息功能”并依次點擊“軟件環境→正在運行任務”就可以查看到進程的詳細信息，比如進程路徑、進程 ID、文件創建日期、啟動時間等：

4、最后應急處置，當然是殺死進程并刪除 Backdoor 文件，執行命令taskkill /F /pid 3232：

啟動項的排查

此項的目的是檢查服務器是否有異常的啟動項。

檢查方法

1、單擊【開始】>【運行】，輸入 regedit，打開注冊表，查看開機啟動項是否正常，特別注意如下三個注冊表項：

\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

檢查右側是否有啟動異常的項目，如有請刪除，并建議安裝殺毒軟件進行病毒查殺，清除殘留病毒或木馬:

2、檢查組策略，運行 gpedit.msc：

以上是開關機以及用戶登錄注銷時會啟動的腳本，注意查看里面是否存放了惡意腳本。

計劃服務排查

1、訪問“計算機管理”功能，查看“任務計劃程序庫”，查看是否存在可疑的計劃任務：

2、另一種查看方法是，執行命令schtasks.exe，檢查計算機與網絡上的其它計算機之間的會話或計劃任務，如有，則確認是否為正常連接：

系統信息排查

1、查看系統版本以及補丁信息，可執行命令systeminfo，查看系統信息：

2、排查當前用戶最近打開文件，可以在文件管理器輸入%userprofile%\recent，即可查看最近打開的文件 ：

日志信息排查

系統日志

1、Windows 的C:\Windows\System32\winevt\Logs路徑下存放了系統各類日志文件：

2、雙擊選中 “Securuty” 安全事件日志文件，可進入事件查看器（另一種辦法是 Win+R 打開運行，輸入“eventvwr.msc”，回車運行，直接打開“事件查看器”）：

3、可導出應用程序日志、安全日志、系統日志，利用 Log Parser 工具（官網下載地址）進行分析：

LogParser 的一些用法：

基本查詢結構
Logparser.exe –i:EVT –o:DATAGRID "SELECT * FROM c:\xx.evtx"
查詢登錄成功的所有事件
LogParser.exe -i:EVT –o:DATAGRID  "SELECT *  FROM c:\Security.evtx where EventID=4624"
查詢登錄失敗的所有事件
LogParser.exe -i:EVT –o:DATAGRID  "SELECT *  FROM c:\Security.evtx where EventID=4625"
查詢系統歷史開關機記錄
LogParser.exe -i:EVT –o:DATAGRID "SELECT TimeGenerated,EventID,Message FROM c:\System.evtx where EventID=6005 or EventID=6006"

WEB 訪問日志

1、分析方法：找到中間件的 web 日志，打包到本地方便進行分析。

2、推薦工具：Window 下，推薦用 EmEditor 進行日志分析，支持大文本，搜索效率還不錯。Linux 下，使用 Shell 命令組合查詢分析。

應急工具

1、病毒分析 ：

PCHunter：http://www.xuetr.com
火絨劍：https://www.huorong.cn
Process Explorer：https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer
processhacker：https://processhacker.sourceforge.io/downloads.php
autoruns：https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns
OTL：https://www.bleepingcomputer.com/download/otl/

2、病毒查殺：

卡巴斯基（推薦理由：綠色版、最新病毒庫）：
http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe  
大蜘蛛（推薦理由：掃描快、一次下載只能用1周，更新病毒庫）：
http://free.drweb.ru/download+cureit+free
火絨安全軟件：
https://www.huorong.cn
360殺毒：
http://sd.#/download_center.html

3、病毒動態：

CVERC-國家計算機病毒應急處理中心：http://www.cverc.org.cn
微步在線威脅情報社區：https://x.threatbook.cn
火絨安全論壇：http://bbs.huorong.cn/forum-59-1.html
愛毒霸社區：http://bbs.duba.net
騰訊電腦管家：http://bbs.guanjia.qq.com/forum-2-1.html

4、在線病毒掃描網站：

多引擎在線病毒掃描網 v1.02，當前支持 41 款殺毒引擎：
http://www.virscan.org        
騰訊哈勃分析系統:
https://habo.qq.com          
Jotti 惡意軟件掃描系統:
https://virusscan.jotti.org      
針對計算機病毒、手機病毒、可疑文件等進行檢測分析:
http://www.scanvir.com        

5、Webshell 查殺：

D盾_Web查殺：
http://www.d99net.net/index.asp
河馬 webshell 查殺：
http://www.shellpub.com
深信服 Webshell 網站后門檢測工具：
http://edr.sangfor.com.cn/backdoor_detection.html
Safe3：
http://www.uusec.com/webshell.zip

總結

本文總結了一些 Windows 操作系統的入侵排查與應急響應技術，實際的應急場景中應靈活結合各自排查手段。