应急响应入门篇-windows分析排查技术(上)

 

一、应急响应:

概念:

一般情况下,各种木马,病毒等恶意程序,都会在计算机开机启动过程中启动。

当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。

常见的应急响应事件分类:

web入侵:网页挂马、主页篡改、Webshell
系统入侵:病毒木马、勒索软件、远控后门
网络攻击:DDOS攻击、DNS劫持、ARP欺骗

分析排查是指对windows系统中的文件、进程、系统信息、日志记录等进行检测,挖掘windows系统中是否具有异常情况。目的在于:保护windows系统安全

 

二、windows应急响应实际分析

在windows系统中可以通过以下三种方式查看开机启动项

1.分析开机启动项

方法1.利用操作系统中的启动菜单

1.先进入组织,然后打开文件夹选项,把隐藏文件显示。

2.然后输入路径:C:\Users\x\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup,访问就看到了开机启动项里的文件

法2,利用系统配置msconfig

1.使用win+r ,输入msfconfig

2.然后对正在运行的文件进行分析。如vmvaretools

法3.利用注册表regedit

使用win+r,输入regedit,一步一步找到开机启动项的位置

然后进行下一步分析

02文件分析-temp临时异常文件

temp(临时文件夹),位于C:\Documents and settings\Administrator

法1:直接访问根目录

法2:输入%temp%,然后运行,即可调用出来。

3.对temp目录下的pe文件进行查看,查看那些比较大一点的文件(exe、dll、sys)

4.将文件上传到virustotal进行查看,是否为恶意代码

https://www.virustotal.com/

03文件分析—浏览器信息分析

在被黑客拿下的服务器,很有可能会使用浏览器进行网站的访问,因此我们可以查看浏览器记录,探索浏览器是否被使用和下载恶意代码。

1.先打开ie浏览器,然后在浏览器打开历史记录

2.然后按照日期进行筛选,查看可疑程序时间。

3.由于在不同浏览器,查看浏览记录的方式不一样。所以推荐一个工具browserhistory

下载之后打开软件,进行配置

然后进行浏览器历史记录查看。

查看浏览器cookie信息,推荐iecookies view

进行筛选,查找。

保存文件

然后对其进行分析

推荐一个下载工具的地方:

http://launcher.nirsoft.net/downloads/index.html

04 文件时间属性分析

在windows系统下,文件属性的时间属性有:创建时间、修改时间、访问时间(默认情况下禁用)

如果遇到了一个修改时间早于创建时间,比较异常的那种修改时间。这种文件就特别可疑/。

没找到可疑文件,记得认真看一下修改时间。

可以使用中国菜刀连接,然后修改文件的修改时间

5最近打开文件分析

windows系统默认记录系统中最近打开使用的文件信息

可以在目录 C:\Users\x\Recent下查看,也可以使用win+r 输入 %UserProfile%\Recent 查看

1.然后打开最近的文件

可以直接打开文件进行分析。

如果文件太多,还可以使用日期进行筛选

最后还可以使用cmd命令 find / ? 加各种参数然后对最近打开的文件进行筛选。

总结:

本文针对常见的攻击事件,总结了一些如何对Window服务器入侵,一步步操作对入侵进行分析。主要针对开机启动项、temp临时异常文件、浏览器信息、文件属性、最近打开文件进行分析。

(完)