一、应急响应:
概念:
一般情况下,各种木马,病毒等恶意程序,都会在计算机开机启动过程中启动。
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。
常见的应急响应事件分类:
web入侵:网页挂马、主页篡改、Webshell
系统入侵:病毒木马、勒索软件、远控后门
网络攻击:DDOS攻击、DNS劫持、ARP欺骗
分析排查是指对windows系统中的文件、进程、系统信息、日志记录等进行检测,挖掘windows系统中是否具有异常情况。目的在于:保护windows系统安全。
二、windows应急响应实际分析
在windows系统中可以通过以下三种方式查看开机启动项
1.分析开机启动项
1.先进入组织,然后打开文件夹选项,把隐藏文件显示。
2.然后输入路径:C:\Users\x\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup,访问就看到了开机启动项里的文件
1.使用win+r ,输入msfconfig
2.然后对正在运行的文件进行分析。如vmvaretools
使用win+r,输入regedit,一步一步找到开机启动项的位置
然后进行下一步分析
02文件分析-temp临时异常文件
temp(临时文件夹),位于C:\Documents and settings\Administrator
3.对temp目录下的pe文件进行查看,查看那些比较大一点的文件(exe、dll、sys)
4.将文件上传到virustotal进行查看,是否为恶意代码
03文件分析—浏览器信息分析
在被黑客拿下的服务器,很有可能会使用浏览器进行网站的访问,因此我们可以查看浏览器记录,探索浏览器是否被使用和下载恶意代码。
1.先打开ie浏览器,然后在浏览器打开历史记录
2.然后按照日期进行筛选,查看可疑程序时间。
3.由于在不同浏览器,查看浏览记录的方式不一样。所以推荐一个工具browserhistory。
下载之后打开软件,进行配置
然后进行浏览器历史记录查看。
查看浏览器cookie信息,推荐iecookies view
进行筛选,查找。
保存文件
然后对其进行分析
推荐一个下载工具的地方:
http://launcher.nirsoft.net/downloads/index.html
04 文件时间属性分析
在windows系统下,文件属性的时间属性有:创建时间、修改时间、访问时间(默认情况下禁用)
如果遇到了一个修改时间早于创建时间,比较异常的那种修改时间。这种文件就特别可疑/。
没找到可疑文件,记得认真看一下修改时间。
可以使用中国菜刀连接,然后修改文件的修改时间
5最近打开文件分析
windows系统默认记录系统中最近打开使用的文件信息
可以在目录 C:\Users\x\Recent下查看,也可以使用win+r 输入 %UserProfile%\Recent 查看
1.然后打开最近的文件
可以直接打开文件进行分析。
如果文件太多,还可以使用日期进行筛选
最后还可以使用cmd命令 find / ? 加各种参数然后对最近打开的文件进行筛选。
总结:
本文针对常见的攻击事件,总结了一些如何对Window服务器入侵,一步步操作对入侵进行分析。主要针对开机启动项、temp临时异常文件、浏览器信息、文件属性、最近打开文件进行分析。