前言
在系统被入侵后,需要迅速梳理出黑客的攻击路径,本文总结windows系统攻击溯源过程中必要的排查范围。
排查项目
用户
查看当前登录用户
1 |
query user |
查看系统中所有用户
1 2 3 |
1. net user 2. 开始-运行-lusrmgr.msc 3.查看C:\Users目录排查是否新建用户目录,如果存在则排查对应用户的download和desktop目录是否有可疑文件 |
查看是否存在隐藏账号,克隆账号
1 2 |
开始-运行-regedit 查看HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users中是否有异常 |
启动项
注册表查看启动项
1 2 3 |
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run |
命令行查看启动项
1 |
wmic startup list full |
组策略中查看启动
1 |
运行-gpedit.msc |
Recent目录
此目录可以看到程序或文件最后被打开和使用的日期时间。
1 |
C:\Users\Administrator\Recent |
windows日志
安全日志
计算机-管理-事件查看器-windows日志-安全(或eventvwr.msc)
根据时间排查安全日志里的登录事件,用户创建等事件情况
着重寻找登录事件(ID4624)且登录类型为3和10等远程登录方式
windows安全日志文件:
C:\Windows\System32\winevt\Logs\Security.evtx 查看其大小是否为20M左右,若远远小于20M则有可能被清理过
系统日志
计算机-管理-事件查看器-windows日志-系统
查看恶意进程的运行状态时间等
排查可疑进程
查看可疑网络连接
1 |
netstat -b -n |
根据网络连接寻找pid
1 |
netstat -ano | findstr xxx |
根据pid寻找进程
1 |
tasklist | findstr xxx |
杀死可疑进程
1 |
taskkill /T /F /PID xxxx |
排查计划任务
1 2 3 |
schtasks /query /fo table /v 运行-taskschd.msc |
排查系统服务
1 |
运行-service.msc |
工具使用
PECmd
使用PECmd导出最近活动项目
LastActivityView
使用LastActivityView图形化工具查看最近活动项目
文章来源:LemonSec