Windows服务器应急响应（下）

介绍

进程（Process）是计算机中的程序关于某数据集合上的一次运行活动，是系统进行资源分配和调度的基本单位，是操作系统结构的基础。在早期面向进程设计的计算机结构中，进程是程序的基本执行实体；在面向线程设计的计算机结构中，进程是线程的容器。主机在感染恶意程序后，恶意程序都会启动相应的进程，来完成相关的恶意操作，有的恶意进程为了能够不被查杀，还会启动相应的守护进程对恶意进程进行守护。

Shift粘滞键是当用户连按5次shift就会自动弹出的一个程序，其实不光是粘滞键，还有各种辅助功能，这类辅助功能都拥有一个特点就是当用户未进行登录时也可以触发。所以攻击者很有可能通过篡改这些辅助功能的指向程序来达到权限维持的目的。

步骤

打开计算机管理 > 任务计划程序，可以看到一个名为system的任务计划，可以看到操作是启动程序

C:\Users\Administrator\Downloads\wkbd\wkbd\javs.exe

根据介绍可知，服务器可能存在shift粘贴键后门，运行输入regedit，打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File ExecutionOption，可以看到一个名为sethc.exe的注册表项，这是一个进程文件，按5下shift后，windows就执行了system32下的sethc.exe，在这里用debugger将其替代为C:\Windows\System32\cmd.exe，按下5次shift可以开启一个管理员的dos

HKEY_LOCAL_MACHINE\SAM\Domains\Users可以看到一个隐藏账户

将Administrator和隐藏账户的注册表值导出，对比F值，发现隐藏账户克隆了Administrator账户的权限

然后在计算机管理中打开事件查看器查看安全日志，在日志中可以看到大量的登录事件均为账户登录失败，推测为攻击者对Administrator账户进行密码的暴力破解

在后续事件中，有登陆成功的事件，在其后，使用显式凭据登录，可以看到攻击者的IP

之后创建了一个隐藏账户

同时可以在系统日志中看到dns解析的记录，是一个恶意的域名