Window入侵排查思路

一、开机启动项

1、在Windows系统中查看启动项，首先要排查的就是开机自启项。

开始菜单里的程序中的自启

•C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup • 查看应用程序中是否存在陌生的程序或者可疑程序(非机主自己安装)。

2、可以通过msconfig查看启动项，win10系统的启动项转移到任务管理器中查看了

• 查看是否存在可疑项

3、查看缓存文件

C盘一般在C:/Windows/Temp

• 这些都是Windows产生的临时文件，比如：WinRAR等压缩工具对压缩包进行解压的时候会先解压在临时文件夹中，然后从这个临时文件夹中移动到目标文件夹。

4、Recent系统文件夹
Recent里面存放着最近使用的文档快捷方式，可以看到近期修改的文件以及修改日期

• 打开方式：WIN+R -> %UserProfile%\Recent

也可以直接通过日期选项进行排查

再有就是查看文件的创建时间、修改时间、访问时间，黑客一般通过菜刀蚁剑类工具对文件做出修改，后面可以通过文件修改时间来判断该文件是否可疑。如果修改时间在创建时间之前，明显就是可疑文件了。

5、注册表
接下来是注册表，在计算机中启动项分三种

• 一般启动项内容项在计算机\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

用户设置的启动项，删除不影响系统运行，但是一般查看的时候重点查看这里，因为这里是用户设置的。

• 另一个是系统设置的启动项，删除需谨慎，一般是第三方软件的驱动程序。

第三个启动项是很重要的，不能随便删除，都则会影响正常操作系统的正常运行。

• 计算机\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run

二、入侵排查思路

1、弱口令修改
2、第一时间禁掉发现的可以账号和新增账号，使用控制面版中的用户账户工具

• 也可以看D盾_web来检测是否存在克隆账号或者隐藏账号
• D盾下载链接https://www.d99net.net/

• 查看各个用户的登录时间和用户名是否异常

3、Windows系统信息排查

计划任务

• 控制面板的管理工具中存在很多工具，其中就有任务计划程序

• 计划任务排查一般是查看操作，操作中显示这个任务中哪个程序在执行，查看有无危险命令和未知的可疑软件。还有就是需要注意那些触发器是当用户登录时的任务。不熟悉的就给它禁掉

查看开启的服务以及服务对应的端口

• netstat -ano • windows下命令窗口输入netstat
-ano即可查看端口使用情况，如果要查看指定端口是否被占用可以使用命令netstat -ano|findstr 端口号，例如要查看8080端口号是否已经被占用就使用命令netstat -ano|findstr 8080
如果结果为空则说明没有被使用，如果有值则说明已经被使用，最后一列为使用8080端口号的进程ID。
• 端口为不常见的开放端口，也可以通过查看它的PID来进一步查询相对应的进程

• tasklist | findstr “PID”
• 根据netstat 定位出的pid，再通过tasklist命令确认端口对应的进程

查看进程

查看进程方法：

win+r输入r，依次点击“软件环境→正在运行任务”就可以查看到进程的详细信息，比如进程路径、进程ID、文件创建日期、启动时间等

使用Process Explorer 查看进程

• 下载链接https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer#download

D盾查看进程

• 下载链接https://www.d99net.net/

启动项分析

• 使用Autoruns进行启动项分析
• 下载链接https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns#download

4、发现隐藏后门

文件MD5校验

• 在网上下载文件后，有些网站会在压缩包的注释处或者是下载页的明显位置放一段MD5校验值。为了防止用户需要时下载到被黑客恶意修改后的文件
• 在Windows系统中进行文件的md5值的计算用到certutil 一个命令行程序

【早期版本的 certutil 可能无法提供本文档中所述的所有选项。可以通过运行或来查看特定版本的 certutil 提供 certutil -? 的所有选项 certutil -? 】

• 这是微软官方的帮助文档——https://docs.microsoft.com/zh-cn/windows-server/administration/windows-commands/certutil
• 一般使用hashfile参数来生成并显示文件上的加密函数

文件对比

• 使用DVWA文件夹来做例子，手动给一个文件中加上一句话木马以及添加一个木马文件，测试一下
• DVWA下载链接https://github.com/digininja/DVWA

• 双击异常文件，软件也可以得出具体是哪个片段的代码不同。

5、浏览器信息记录

• 浏览器中的信息也是在应急响应中对黑客的攻击手段进行复现查看的一种方法，一般在浏览器中会保存浏览记录，下载记录，还有cookie信息等内容。

• 浏览记录：可以查看黑客在拿到此台计算机后使用浏览器进行了哪些操作，很有可能使用浏览器去下载事先准备好的放在互联网上的后门木马或者勒索病毒等危险内容。以Google浏览器为例，在需要查看历史记录的时候使用chrome://history/

如果浏览器的历史记录已经被删除掉了，怎么查看，这里有几种常用的方法。

如果电脑的谷歌浏览器是登录了账号的状态，在谷歌还未同步删除之前，可以在手机上进行查看浏览记录。

还可以通过Google活动https://myactivity.google.com/可以看到这里是查看到了我之前4月25日的访问记录。我认为这是比较方便的。

• 恢复已删除 Chrome来自Google外卖的备份文件的历史记录，可以查看近30天的历史记录活动。（需要自行备份，不合适应急响应中使用）

• 使用数据恢复软件来恢复历史记录
• Chrome 生成文件以存储Windows或macOS上的浏览历史记录。文件名是“History”，看起来像

删除或清除历史记录后，文件将被删除， Chrome 之后，当您开始查看其他页面时，将生成一个新页面。

使用Data Recovery Do安装在存储历史文件的磁盘以外的磁盘（D盘）

下载记录也是最重要的信息来源，可以看到黑客是否在互联网上下载了可疑文件或者程序。一般查杀使用D盾即够用。也可以使用在线恶意程序或文档检测工具。

三、window系统日志分析

系统日志默认存放路径

对应版本：NT/Win2000/XP/Server 2003
C:\WINDOWS\system32\config\SysEvent.Evt 对应版本：
Vista/Win7/Win8//Win10/Server 2008/Server 2012
C:\WINDOWS\system32\winevt\Logs\System.evtx

window日志分为系统日志，应用程序日志和安全日志。在应急溯源中，重点关注安全日志

日志默认保存位置系统日志：C:\Windows\System32\winevt\Logs\System.evtx

应用程序日志：C:\Windows\System32\winevt\Logs\Application.evtx

安全日志：C:\Windows\System32\winevt\Logs\Security.evtx

window安全日志分析的常用手法

一般是在事件查看其中，对日志时间ID进行筛选。比如在勒索病毒的应急响应中，我们通过事件ID-4624对登录成功的日志进行筛选，因为勒索病毒一般是通过RDP爆破的方式进行传播的，所以我们重点关注登录类型为10的登陆成功的日志，重点关注登录成功的时间与勒索病毒加密文件的时间是否对应，如下图

1、win10系统日志文件默认存放在%SystemRoot%\System32\Winevt\Logs\下，该文件夹下全是Windows的各种事件日志文件。记录操作系统组件产生的事件，主要包括驱动程序、系统组件和应用软件的崩溃以及数据。
2、看日志之前要先了解一下Windows系统日志信息，Windows的日志文件本质上是数据库，其中包含的元素：日期时间，用户名，计算机名，事件ID，来源，类型，描述，数据等信息都相当于相应的字段。

window日志审计工具：Log Parser

• 支持的操作系统Windows XP 专业版、Windows 2000、Windows Server 2003!!! • Log
Parser（是微软公司出品的日志分析工具，它功能强大，使用简单，可以分析基于文本的日志文件、XML 文件、
CSV（逗号分隔符）文件，以及操作系统的事件日志、注册表、文件系统、Active Directory。它可以像使用 SQL 语句
一样查询分析这些数据，甚至可以把分析结果以各种图表的形式展现出来
• 下载地址：https://www.microsoft.com/en-us/download/details.aspx?id=24659

基本使用语法：

Logparser.exe –i:EVT –o:DATAGRID "SELECT * FROM C:\Windows\System32\winevt\Logs\Security.evtx"

查询登录成功的所有事件

LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM C:\Windows\System32\winevt\Logs\Security.evtx where EventID=4798"

提取登录成功的用户名和IP

LogParser.exe -i:EVT -o:datagrid "SELECT TimeGenerated,EXTRACT_TOKEN(Strings,8,'|') AS LoginType,EXTRACT_TOKEN( Strings,5,'|') AS USERNAME,EXTRACT_TOKEN(Strings,17,'|') AS ProcessName,EXTRACT_TOKEN(Strings,18,'|') AS Client_IP FROM 'C:\Windows\System32\winevt\Logs\Security.evtx' WHERE EventID='46 24'

查询登录成功，切登录类型为10的用户名和IP

LogParser.exe -i:EVT -o:datagrid "SELECT TimeGenerated,EXTRACT_TOKEN(Strings,8,'|') AS LoginType,EXTRACT_TOKEN( Strings,5,'|') AS USERNAME,EXTRACT_TOKEN(Strings,17,'|') AS ProcessName,EXTRACT_TOKEN(Strings,18,'|') AS Client_IP FROM 'C:\Security.evtx' WHERE EventID='46 24' AND EXTRACT_TOKEN(Strings,18,'|') NOT LIKE '%-%' AND ( EXTRACT_TOKEN(Strings,8,'|')='10' or EXTRACT_TOKEN(Strings,8,'|')='10') ORDER BY TimeGenerated DESC"

Windows事件日志五种事件类型

Windows事件日志有五种事件类型，所有的事件必须且只能拥有其中一种事件类型。

1、信息(Information)

信息事件指应用程序或服务的成功操作的事件，比如：登录成功，搜索服务等成功操作都会保留在信息事件的日志文件中。

2、警告(Warning)

警告事件指不是直接的、主要的，但是会导致将来问题发生的问题。例如，当磁盘空间不足或未找到打印机时，都会记录一个“警告”事件。

• 这里是数据库的格式问题报出一个警告事件。

3、错误(Error)

错误事件指用户应该知道的重要的问题。错误事件通常指功能和数据的丢失。例如, 如果一个服务不能作为系统引导被加载，那么它会产生一个错误事件。

4、成功审核(Success audit)

成功的审核安全访问尝试，主要是指安全性日志，这里记录着用户登录/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登录等事件，例如所有的成功登录系统都会被记录为“成功审核”事件。

5、失败审核

失败的审核安全登录尝试，例如用户试图访问网络驱动器失败，则该尝试会被作为失败审核事件记录下来。

• 不同事件对应不同的ID，可以通过过滤ID快速浏览事件

事件ID	说明
4624	登录成功
4625	登录失败
4634	注销成功
4647	用户启动的注销
4672	使用超级用户/管理员用户进行登录
4720	创建用户

【每个成功登录的事件都会标记一个登录类型，不同登录类型代表不同的方式】

四、参考链接

https://brownfly.gitbook.io/emergency-response/
https://github.com/Bypass007/Emergency-Response-Notes

【说明】本手册仅供参考，用于网络安全应急响应排查。用于非法用途与本文无关！！网络安全爱好者do you best