windows入侵排查下
目录
- 1、检查异常端口
- 2、检查进程
- 2.1 进程名字异常与伪装
- 2.2进程信息排查
- 2.3模块空间检查
- 3、查找可疑目录及文件
- 3.1查看用户目录
- 3.2最近打开文件
- 3.3临时目录排查
- 3.4 浏览器相关文件
- 3.5 System32 目录与 hosts 文件
- 3.6 预读取文件夹
- 3.7 最近打开文件
- 4、事件日志分析
- 5、杂项
- 5.1 流量分析
- 5.2.1.1 内存获取方式 -- 基于内核模式程序的内存获取
- 5.2.1.2 内存获取方式 -- 基于系统崩溃转储的内存获取
- 5.2.2.1 内存分析方法 -- Redline
- 5.2.2.2 内存分析方法 -- Volatility
1、检查异常端口
使用命令 netstat -ano 查看当前的网络连接,排查可疑的服务、端口,外连的IP,定位可疑的 ESTABLISHED。如发现 netstat 定位出的 pid 有问题,可再通过tasklist 命令tasklist | findstr “PID” 进一步追踪该可疑程序。
常见的网络状态说明如下。
LISTENING :侦听状态。
ESTABLISHED :建立连接。
CLOSE WAIT:对方主动关闭连接或网络异常导致连接中断。
使用命令 netstat -anb 命令(需要管理员权限)快速定位到端口对应的程序
2、检查进程
任务管理器的文件名是 Taskmrg.exe 。
2.1 进程名字异常与伪装
进程名字异常是指某些进程的名字是随机产生的,因此高度可疑,例如:某感染环境,打开任务管理器,发现有大量名字随机的进程,如hrlB3.tmp、hrlcc.tmp、hrlcD.tmp、hrlc3.tmp、hrlC5.tmp、hrlD5.tmp、hrl6.tmp、hrlEE.tmp。不仅文件后缀不是典型的 exe,名字也是随机产生的
2.2进程信息排查
通过 tasklist 查看
在命令行中输入【tasklist 】命令,可显示运行在计算机中的所有进程,可查看进程的映像名称、PID、会话名等信息
使用【tasklist】命令并添加特定参数,还可以查看每个进程提供的服务,如添加svc参数,即输入【tasklistsvc】命令,可以显示每个进程和服务的对应情况
2.3模块空间检查
找到可疑进程并不意味着该进程对应的 exe 文件就是病毒,有些病毒可能是将恶意 dll 注入到系统进程中去的。
对于可疑进程,需要将进程所加载的模块都检查一下,例如利用 ProcessHacker,双击可疑进程,即可查看其加载的模块
3、查找可疑目录及文件
3.1查看用户目录
新建账号会在这个目录生成一个用户目录,查看是否有新建用户目录。
C:\Documents and Settings
C:\Users\
3.2最近打开文件
检查下最近打开了哪些文件,可疑文件有可能就在最近打开的文件中,打开以下这些目录即可看到
查看用户 Recent 文件。 Recent文件主要存储了最近运行文件的快捷方式,可通过分析最近运行的文件,排查可疑文件。
C:\Users[用户名]\Recent
C:\Documents and Settings[用户名]\Recent
3.3临时目录排查
攻击者往往可能将病毒放在临时目录(tmp/temp),或者将病毒相关文件释放到临时目录,因此需要检查临时目录是否存在异常文件。假设系统盘在C盘,则通常情况下的临时目录如下:
C:\Users[用户名]\Local Settings\Temp
C:\Documents and Settings[用户名]\Local Settings\Temp
C:\Users[用户名]\桌面
C:\Documents and Settings[用户名]\桌面
C:\Users[用户名]\Local Settings\Temporary internet Files
C:\Documents and Settings[用户名]\Local Settings\Temporary Internet Files
[用户名]根据实际环境用户得出,常见用户名是 Administrator,建议所有用户都检查一下
3.4 浏览器相关文件
对于一些人工入侵的应急响应事件,有时入侵者会下载一些后续攻击的工具。 Windows 系统要重点排查浏览器的历史记录、下载文件和cookie 信息,查看是否有相关的恶意痕迹。
C:\Users[用户名]\Cookies
C:\Documents and Settings[用户名]\Cookies
C:\Users[用户名]\Local Settings\History
C:\Documents and Settings[用户名]\Local Settings\History
C:\Users[用户名]\Local Settings\Temporary Internet Files
C:\Documents and Settings[用户名]\Local Settings\Temporary Internet Files
3.5 System32 目录与 hosts 文件
System32 也是常见的病毒释放目录,因此也要检查下该目录。 hosts 文件是系统配置文件,用于本地 DNS 查询的域名设置,可以强制将某个域名对应到某个IP 上,因此需要检查 hosts 文件有没有被黑客恶意篡改。
C:\Windows\System32
C:\Windows\System32\drivers\hosts
3.6 预读取文件夹
访问 C:\Windows\Prefetch,可以帮助分析人员找到攻击者的执行证据及策略。
3.7 最近打开文件
在命令行中输入【forfiles 】命令,查找相应文件
4、事件日志分析
5、杂项
5.1 流量分析
流量分析可以使用 Wireshark,主要分析下当前主机访问了哪些域名、URL、服务,或者有哪些外网IP 在访问本地主机的哪些端口、服务和目录,又使用了何种协议等等。
5.2.1.1 内存获取方式 – 基于内核模式程序的内存获取
这种获取方法一般需要借助相关的工具来完成。常用的提取工具有 Dumpit、Redline、RAM Capturer、FTKImager 等。
5.2.1.2 内存获取方式 – 基于系统崩溃转储的内存获取
打开【系统属性】对话框,选择【高级】选项卡,单击【启动和故障恢复】中的【设置】按钮,打开【启动和故障恢复】对话框,选择【核心内存转储】并找到转储文件进行获取。
5.2.2.1 内存分析方法 – Redline
在获取内存文件后,可以使用 Redline 进行导入分析,其主要收集在主机上运行的有关进程信息、内存中的驱动程序,以及其他数据,如元数据、注册表数据、任务、服务、网络信息和 Internet历史记录等,最终生成报告
5.2.2.2 内存分析方法 – Volatility
Volatiiv是一个开源的内存取证工具,可以分析入侵攻击痕迹,包括网络连接、进程、服务、驱动模块、DLL、handles、进程注入、cmd历史命令、1E 浏览器历史记录、启动项、用户、shimcache、userassist、部分rootkit 隐藏文件、cmdline 等。