windows入侵排查下

目录

• • 1、检查异常端口
  • 2、检查进程
  • • [2.1 进程名字异常与伪装](#2.1 进程名字异常与伪装)
    • 2.2进程信息排查
    • 2.3模块空间检查
  • 3、查找可疑目录及文件
  • • 3.1查看用户目录
    • 3.2最近打开文件
    • 3.3临时目录排查
  • [3.4 浏览器相关文件](#3.4 浏览器相关文件)
  • • [3.5 System32 目录与 hosts 文件](#3.5 System32 目录与 hosts 文件)
    • [3.6 预读取文件夹](#3.6 预读取文件夹)
    • [3.7 最近打开文件](#3.7 最近打开文件)
  • 4、事件日志分析
  • 5、杂项
  • [5.1 流量分析](#5.1 流量分析)
  • • [5.2.1.1 内存获取方式 -- 基于内核模式程序的内存获取](#5.2.1.1 内存获取方式 -- 基于内核模式程序的内存获取)
    • [5.2.1.2 内存获取方式 -- 基于系统崩溃转储的内存获取](#5.2.1.2 内存获取方式 -- 基于系统崩溃转储的内存获取)
    • [5.2.2.1 内存分析方法 -- Redline](#5.2.2.1 内存分析方法 -- Redline)
    • [5.2.2.2 内存分析方法 -- Volatility](#5.2.2.2 内存分析方法 -- Volatility)

1、检查异常端口

使用命令 netstat -ano 查看当前的网络连接，排查可疑的服务、端口，外连的IP，定位可疑的 ESTABLISHED。如发现 netstat 定位出的 pid 有问题，可再通过tasklist 命令tasklist | findstr "PID" 进一步追踪该可疑程序。

常见的网络状态说明如下。

LISTENING :侦听状态。

ESTABLISHED :建立连接。

CLOSE WAIT:对方主动关闭连接或网络异常导致连接中断。

使用命令 netstat -anb 命令（需要管理员权限）快速定位到端口对应的程序

2、检查进程

任务管理器的文件名是 Taskmrg.exe 。

2.1 进程名字异常与伪装

进程名字异常是指某些进程的名字是随机产生的，因此高度可疑，例如：某感染环境，打开任务管理器，发现有大量名字随机的进程，如hrlB3.tmp、hrlcc.tmp、hrlcD.tmp、hrlc3.tmp、hrlC5.tmp、hrlD5.tmp、hrl6.tmp、hrlEE.tmp。不仅文件后缀不是典型的 exe，名字也是随机产生的

2.2进程信息排查

通过 tasklist 查看

在命令行中输入【tasklist 】命令，可显示运行在计算机中的所有进程，可查看进程的映像名称、PID、会话名等信息

使用【tasklist】命令并添加特定参数，还可以查看每个进程提供的服务，如添加svc参数,即输入【tasklistsvc】命令,可以显示每个进程和服务的对应情况

2.3模块空间检查

找到可疑进程并不意味着该进程对应的 exe 文件就是病毒，有些病毒可能是将恶意 dll 注入到系统进程中去的。

对于可疑进程，需要将进程所加载的模块都检查一下，例如利用 ProcessHacker，双击可疑进程，即可查看其加载的模块

3、查找可疑目录及文件

3.1查看用户目录

新建账号会在这个目录生成一个用户目录，查看是否有新建用户目录。

C:\Documents and Settings

C:\Users\

3.2最近打开文件

检查下最近打开了哪些文件，可疑文件有可能就在最近打开的文件中，打开以下这些目录即可看到

查看用户 Recent 文件。 Recent文件主要存储了最近运行文件的快捷方式，可通过分析最近运行的文件，排查可疑文件。

C:\Users[用户名]\Recent

C:\Documents and Settings[用户名]\Recent

3.3临时目录排查

攻击者往往可能将病毒放在临时目录(tmp/temp)，或者将病毒相关文件释放到临时目录，因此需要检查临时目录是否存在异常文件。假设系统盘在C盘，则通常情况下的临时目录如下：

C:\Users[用户名]\Local Settings\Temp

C:\Documents and Settings[用户名]\Local Settings\Temp

C:\Users[用户名]\桌面

C:\Documents and Settings[用户名]\桌面

C:\Users[用户名]\Local Settings\Temporary internet Files

C:\Documents and Settings[用户名]\Local Settings\Temporary Internet Files

[用户名]根据实际环境用户得出，常见用户名是 Administrator，建议所有用户都检查一下

3.4 浏览器相关文件

对于一些人工入侵的应急响应事件,有时入侵者会下载一些后续攻击的工具。 Windows 系统要重点排查浏览器的历史记录、下载文件和cookie 信息，查看是否有相关的恶意痕迹。

C:\Users[用户名]\Cookies

C:\Documents and Settings[用户名]\Cookies

C:\Users[用户名]\Local Settings\History

C:\Documents and Settings[用户名]\Local Settings\History

C:\Users[用户名]\Local Settings\Temporary Internet Files

C:\Documents and Settings[用户名]\Local Settings\Temporary Internet Files

3.5 System32 目录与 hosts 文件

System32 也是常见的病毒释放目录,因此也要检查下该目录。 hosts 文件是系统配置文件,用于本地 DNS 查询的域名设置,可以强制将某个域名对应到某个IP 上，因此需要检查 hosts 文件有没有被黑客恶意篡改。

C:\Windows\System32

C:\Windows\System32\drivers\hosts

3.6 预读取文件夹

访问 C:\Windows\Prefetch，可以帮助分析人员找到攻击者的执行证据及策略。

3.7 最近打开文件

在命令行中输入【forfiles 】命令，查找相应文件

4、事件日志分析

5、杂项

5.1 流量分析

流量分析可以使用 Wireshark，主要分析下当前主机访问了哪些域名、URL、服务,或者有哪些外网IP 在访问本地主机的哪些端口、服务和目录，又使用了何种协议等等。

5.2.1.1 内存获取方式 -- 基于内核模式程序的内存获取

这种获取方法一般需要借助相关的工具来完成。常用的提取工具有 Dumpit、Redline、RAM Capturer、FTKImager 等。

5.2.1.2 内存获取方式 -- 基于系统崩溃转储的内存获取

打开【系统属性】对话框,选择【高级】选项卡，单击【启动和故障恢复】中的【设置】按钮,打开【启动和故障恢复】对话框,选择【核心内存转储】并找到转储文件进行获取。

5.2.2.1 内存分析方法 -- Redline

在获取内存文件后，可以使用 Redline 进行导入分析,其主要收集在主机上运行的有关进程信息、内存中的驱动程序，以及其他数据，如元数据、注册表数据、任务、服务、网络信息和 Internet历史记录等，最终生成报告

5.2.2.2 内存分析方法 -- Volatility

Volatiiv是一个开源的内存取证工具,可以分析入侵攻击痕迹,包括网络连接、进程、服务、驱动模块、DLL、handles、进程注入、cmd历史命令、1E 浏览器历史记录、启动项、用户、shimcache、userassist、部分rootkit 隐藏文件、cmdline 等。