干货|攻击溯源的排查范围

华盟原创文章投稿奖励计划

文章来源:LemonSec

前言

在系统被入侵后,需要迅速梳理出黑客攻击路径,本文总结windows系统攻击溯源过程中必要的排查范围。

排查项目

用户

查看当前登录用户

1 
query user 

查看系统中所有用户

1 2 3 
1. net user 2. 开始-运行-lusrmgr.msc 3.查看C:Users目录排查是否新建用户目录,如果存在则排查对应用户的download和desktop目录是否有可疑文件 

查看是否存在隐藏账号,克隆账号

1 2 
开始-运行-regedit 查看HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers中是否有异常 

启动项

注册表查看启动项

1 2 3 
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun 

命令行查看启动项

1 
wmic startup list full 

组策略中查看启动

1 
运行-gpedit.msc 

Recent目录

此目录可以看到程序或文件最后被打开和使用的日期时间。

1 
C:UsersAdministratorRecent 

windows日志

安全日志

计算机-管理-事件查看器-windows日志-安全(或eventvwr.msc)

根据时间排查安全日志里的登录事件,用户创建等事件情况

着重寻找登录事件(ID4624)且登录类型为3和10等远程登录方式

windows安全日志文件:

C:WindowsSystem32winevtLogsSecurity.evtx 查看其大小是否为20M左右,若远远小于20M则有可能被清理过

系统日志

计算机-管理-事件查看器-windows日志-系统

查看恶意进程的运行状态时间等

排查可疑进程

查看可疑网络连接

1 
netstat -b -n 

根据网络连接寻找pid

1 
netstat -ano | findstr xxx 

根据pid寻找进程

1 
tasklist | findstr xxx 

杀死可疑进程

1 
taskkill /T /F /PID xxxx 

排查计划任务

1 2 3 
schtasks /query /fo table /v 运行-taskschd.msc 

排查系统服务

1 
运行-service.msc 

工具使用

PECmd

使用PECmd导出最近活动项目

LastActivityView

使用LastActivityView图形化工具查看最近活动项目

作者:Leticia's Blog

文章来源:http://next.uuzdaisuki.com

一如既往的学习,一如既往的整理,一如即往的分享。感谢支持干货|攻击溯源的排查范围

“如侵权请私聊公众号删文”

本文原创,作者:张,其版权均为华盟网所有。如需转载,请注明出处:https://www.77169.net/html/273101.html

发表评论