31、应急响应——Windows
2023-12-13 05:07:25
一、账户排查
1.1 登录服务器的途径
- 3389
- smb 445
- http
- ftp
- 数据库
- 中间件
1.2 弱口令
弱口令途径:3389、smb 445、http、ftp、数据库、中间件
排查方式:
- 查看是否启用组策略,限制弱口令
- 用户访谈,直接询问管理员是最好的方法
- 查看是否有暴力破解日志,并登陆成功
- 最后上述都无效的情况,可以尝试读取明文密码
1.3 可疑账号
(1)隐藏账户
使用net user
看不到隐藏账户,使用本地用户管理也看不到隐藏账户。如果账号登录,在任务管理器中会发现相应进程。
创建windows隐藏用户基本流程:
排查windows隐藏用户,我们可以通过查看注册表下HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names
(需要获取权限)
二、网络排查
通常恶意程序会发起网络连接,从网络连接来查找恶意程序是最直接的方法。具体步骤如下:
netstat -ano | find "LISTEN"
- 任务管理器——性能——资源监视器
- windows10默认网络连接
网络排查中还有一部分内容是路由表,查看本机是否被利用作为VPN跳板。windows查看路由表命令:route print
、netstat -rn
三、进程排查
(1)查看进程(命令行中)
- 法一:
tasklist
ortaskmgr
- 法二:
msinfo32
重点看正在允许任务、加载的模块、服务、启动程序
很多恶意程序会通过服务(可以理解为系统自动启动的程序)来启动进程,要注意进程与服务的关联方式。可以通过任务管理器,服务界面,查看进程PID。再通过命令行查看进程与服务之间的关联(tasklist /svc
)。
进程运行参数查询,如svchost作业服务承载进程,具体运行了什么,wmic process where name='svchost.exe' get caption,commandline,processid,parentprocessid
进程加载模块查询tasklist -m
,恶意程序通常会写成dll文件,而非exe直接执行。
启动项排查: - 命令
msconfig
或msinfo32
- 注册表
- 组策略——启动或登录脚本
计划任务排查:
四、注册表排查
五、内存分析
分析内存首要步骤时获取内存,如果服务器时虚拟机,可以直接读取内存文件,如vmware的内存文件,直接在目录下。
从物理机获取内存
文章来源:https://blog.csdn.net/qq_55202378/article/details/134947612
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。 如若内容造成侵权/违法违规/事实不符,请联系我的编程经验分享网邮箱:veading@qq.com进行投诉反馈,一经查实,立即删除!
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。 如若内容造成侵权/违法违规/事实不符,请联系我的编程经验分享网邮箱:veading@qq.com进行投诉反馈,一经查实,立即删除!