31、应急响应——Windows

一、账户排查

1.1 登录服务器的途径

• 3389
• smb 445
• http
• ftp
• 数据库
• 中间件

1.2 弱口令

弱口令途径：3389、smb 445、http、ftp、数据库、中间件
排查方式：

• 查看是否启用组策略，限制弱口令
• 用户访谈，直接询问管理员是最好的方法
• 查看是否有暴力破解日志，并登陆成功
• 最后上述都无效的情况，可以尝试读取明文密码

1.3 可疑账号

（1）隐藏账户
使用net user看不到隐藏账户，使用本地用户管理也看不到隐藏账户。如果账号登录，在任务管理器中会发现相应进程。



创建windows隐藏用户基本流程：

排查windows隐藏用户，我们可以通过查看注册表下HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names（需要获取权限）

二、网络排查

通常恶意程序会发起网络连接，从网络连接来查找恶意程序是最直接的方法。具体步骤如下：

• netstat -ano | find "LISTEN"
• 任务管理器——性能——资源监视器
• windows10默认网络连接

网络排查中还有一部分内容是路由表，查看本机是否被利用作为VPN跳板。windows查看路由表命令：route print、netstat -rn

三、进程排查

（1）查看进程（命令行中）

• 法一：tasklistor taskmgr
• 法二：msinfo32
  重点看正在允许任务、加载的模块、服务、启动程序
  
  很多恶意程序会通过服务（可以理解为系统自动启动的程序）来启动进程，要注意进程与服务的关联方式。可以通过任务管理器，服务界面，查看进程PID。再通过命令行查看进程与服务之间的关联（tasklist /svc）。
  
  进程运行参数查询，如svchost作业服务承载进程，具体运行了什么，wmic process where name='svchost.exe' get caption,commandline,processid,parentprocessid
  
  进程加载模块查询tasklist -m，恶意程序通常会写成dll文件，而非exe直接执行。
  
  启动项排查：
• 命令msconfig或msinfo32
• 注册表
  
• 组策略——启动或登录脚本
  
  计划任务排查：
  

四、注册表排查

五、内存分析

分析内存首要步骤时获取内存，如果服务器时虚拟机，可以直接读取内存文件，如vmware的内存文件，直接在目录下。

从物理机获取内存