0x01. 環境準備

安裝一個windows server 2008 R2 虛擬機器 , 至少 2+40 , 選擇Enterprise(完全安裝) , 然後點選自定義 , 下一步

調出桌面圖示 , 在搜尋中輸入圖示/icon

安裝vmtools , 關機做快照

0x02. 檔案分析

2.1 分析排查介紹

所謂的windows分析排查就是指標對windows系統中的檔案、程序、系統資訊、日誌記錄等進行檢測，挖掘windows系統中是否存在異常情況

目的 : 保護Windows系統安全

2.2 檔案分析-開機啟動檔案

一般情況下,各種木馬病毒等惡意程式,都會在計算機開機啟動的過程中自啟動

在windows系統中可以通過以下三種方式檢視開機啟動項

1. 利用作業系統中的啟動選單

   C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
                     當前使用者名稱
   

   快捷方式 : 開始 --> 啟動 --> 瀏覽

2. 利用系統配置msconfig ms代表微軟 , config是配置

3. 利用登錄檔regedit

   計算機\HKEY_LDCAL_MACHLNE\SOFTHARE\Microsoft\Windows\CurrentVersion\Run
   計算機\HKEY_CURRENT_USER\SOFTHARE\Microsoft\Windows\CurrentVersion\Run
   
   這個兩個都可以新增開機啟動檔案
    
   

   其中在登錄檔中新建啟動檔案,在msconfig中是可以看到的,但是在啟動資料夾中不顯示的

實驗 : 扔一個cs木馬試試是否開機自啟

2.3 檔案分析-temp臨時異常檔案

temp(臨時資料夾) , 位於C:\Users\ADMINI~1\AppData\Local\Temp內。很多臨時檔案放在這裡，用於收藏夾，瀏覽網頁的臨時檔案，編輯檔案等 , \ADMINI~1是win的一種縮寫表示 , 全稱 ADMINISTRATOR

win + r 輸入 : %temp%即可開啟temp資料夾

檢視temp資料夾發現PE檔案( exe , dll , sys ) , 或者是否具有特別大的tmp檔案

PE檔案指的是在windows作業系統中可以執行的檔案,不僅僅只有exe檔案

為什麼temp資料夾是黑客可能攻擊的資料夾呢?

temp資料夾的特殊
1.Temp資料夾位於RAMDISK上。與通常的磁碟檔案系統相比，這使寫入操作和檔案操作快得多。
2.Temp資料夾對當前登入使用者具有讀寫訪問許可權,即完全控制權限
所以惡意程式在傳播的時候向temp資料夾中是一定可以寫入的

可疑檔案的線上查殺

https://www.virustotal.com/     國外網站
https://www.virscan.org/          國內網站

2.4 檔案分析-瀏覽器資訊分析

在被黑客拿下的伺服器 , 很有可能會使用瀏覽器進行網站的訪問。因此我們可以檢視瀏覽器記錄 ， 探索瀏覽器是否被使用下載惡意程式碼

瀏覽器瀏覽痕跡檢視 , 黑客可能瀏覽器了某些頁面

IE瀏覽器 工具-->瀏覽器欄-->歷史記錄

實際上伺服器是用來提供服務的,所以你開啟瀏覽器會有一個安全提示

瀏覽器檔案下載記錄檢視 , 黑客很有可能通過瀏覽器下載一些自己惡意檔案

瀏覽器Cookie資訊檢視 , 這個也很關鍵

工具下載地址 :

https://download.nirsoft.net/nirsoft_package_enc_1.23.17.zip

2.5 檔案分析-檔案時間屬性分析

在windows系統下 , 檔案屬性的時間屬性具有: 建立時間 , 修改時間 , 訪問時間 ( 預設情況下禁用 )

預設情況下 , 計算機是以修改時間作為展示的

點選檔案 , 右鍵屬性

如果修改時間要早於建立時間那麼這個檔案存在很大可疑??? 使用中國菜刀等工具修改的修改時間

通過檔案屬性可以檢視到建立時間 , 修改時間 , 以及訪問時間

小實驗 : 菜刀修改檔案的修改時間

在搭建好的網站上上傳一個1.asp一句話木馬

開啟菜刀連線一句話木馬

修改檔案的修改時間

在虛擬機器上檢視檔案的時間屬性 , 我的盡然沒修改成功 , 有點奇怪

2.6 檔案分析-最近開啟檔案分析

Windows系統中預設記錄系統中最近開啟使用的檔案資訊

可以在目錄 C:\Users\Administrator\Recent下檢視,也可以使用 win + r 開啟執行輸入%UserProfile%\Recent檢視 , 然後利用windows中的篩選條件檢視 具體的時間範圍的檔案

使用命令檢視最近開啟檔案內容中是否有eval這樣的關鍵字

find /?    檢視find這個命令的幫助資訊

find /C /N /I "eval" C:\inetpub\wwwroot\XYCMS\1.asp

存在的話就顯示1 , 不存在就顯示0 , 感覺有點雞肋 不如用工具開啟 搜尋

0x03. 程序分析

3.1 程序分析-可疑程序發現和關閉

計算機與外部網路通訊是建立在TCP或UDP協議上的 , 並且每一次通訊都是具有不同的埠 ( 0-66535 ) , 如果計算機被木馬後 , 肯定會與外部網路通訊 , 那麼此時就可以通過網路連線狀態, 找到對應的程序ID , 然後關閉程序ID就可以關閉連線狀態

netstat -ano

netstat -ano | find "ESTABLISHED"      檢視網路建立連線狀態              ( 區分大小寫 )tasklist /svc | find "PID"                        檢視具體PID程序對應的程式taskkill /PID pid值 /T  /F                        強制關閉程序及其開啟的子程序

關於tcp連線狀態介紹

LISTENING : 表示處於監聽狀態，就是說該埠是開放的，等待連線，但還沒有被連線ESTABLISHED : 表示已經建立連線，表面兩臺機器正在通訊FIN_WAIT_1 : 表示伺服器端主動請求關閉TCP連線，並且主動傳送FIN之後，等待客戶端回覆ACK的狀態。FIN_WAIT_2 : 表示客戶端主動請求關閉TCP連線，並且主動傳送FIN之後，等待伺服器端回覆ACK的狀態。TIME_WAIT  : 表示結束了這次連線，說明曾經訪問過，但是現在訪問結束了CLOSING：等待遠端TCP對連線中斷的確認CLOSED：沒有任何連線狀態

實驗 : 用kali中的msf , 通過ms17010建立與win2k8的會話連線

win2k8檢視埠連線

netstat -ano | find "ESTABLISHED"

4444埠很可疑 , 找到pid為956對應的程序程式

tasklist /svc | find "956"

命令強制關閉程序或者應用管理器中停掉

taskkill /PID 956 /T /F    

檢視kali裡面的session會話 , 已關閉 , 此時黑客就無法繼續控制我們的電腦了

這裡是命令檢視 , 但是一般用工具比較快捷 , XueTr工具 , 找到異常的網路連線 , 檢視程序並關閉 , 找到對應的程式 , 刪除程式檔案, 十分推薦

0x04. 系統分析

4.1 系統資訊-windows計劃任務

在計算機中可以通過設定計劃任務 , 在固定時間執行固定的操作 , 一般情況下 , 惡意程式碼也有可能在固定的時間設定執行.

使用at命令可以對計劃任務進行管理, 直接輸入at可以檢視當前計算機中儲存的計劃任務

當然也可以在視覺化的計劃工作管理員中進行管理

開始-->管理工具-->計劃任務程式

4.2 系統資訊-隱藏賬號發現與刪除

隱藏賬號, 是指黑客入侵之後為了能夠持久保持對計算機訪問 , 而在計算機系統中建立的不輕易被發現的計算機賬號,有人也稱他們為"影子賬號"

最為簡單的隱藏賬號的建立

net user test$ root.com123 /add && net localgroup administrators test$ /add其中$符號可以導致系統管理員在使用net user時 無法檢視到test$使用者

但是在本地使用者管理和組中能檢視到

還有一種更加隱藏的方式是通過登錄檔新增使用者 , 登錄檔相當於一個數據庫 , 儲存著系統相關的資訊

這樣新建的隱藏使用者在本地使用者和組中是不顯示的

1.使用新建一個隱藏賬號

net user test$ root.com123 /add

2.再點“開始”→“執行”並輸入"regedit.exe" 回車，啟動登錄檔編輯器regedit.exe。 開啟鍵：HKEY_LOCAL_MAICHINE\SAM\SAM\Domains\account\user\names\test$",預設是打不開的,需要修改許可權

3.將項test$、000003ec、000001F4匯出為test.reg、3ec.reg、1f4.reg，用記事本分別打這幾個匯出的檔案進行編輯，將超級使用者對應的項000001F4下的鍵"F"的值複製，並覆蓋test$對應的項000003ec下的鍵"F"的值，然後再將000003ec.reg與test.reg合併到000003ec.reg

4.刪除test$賬號 net user test$ /del

5.把000003ec.reg匯入到登錄檔中

6.在登錄檔視窗內把HKEY_LOCAL_MACHINE\SAM\SAM鍵許可權改回原來的樣子

至此隱藏超級賬號就建立好了,實際上的原理就是通過登錄檔新建賬號,繞過本地使用者和組記錄賬號資訊,但是我測試的不同兩臺機器同時登陸管理員賬號會讓另一個下線,所以不如直接新建新增到管理員,然後從登錄檔匯出,刪除賬號,再匯入登錄檔,ok

所以說要查是否有後門賬號,直接去登錄檔中查,其他的都不準

4.3 系統資訊-補丁檢視與更新

windows系統支援補丁以修補漏洞。可以使用sysyteminfo檢視系統資訊，並展示對應的系統補丁資訊編號。也可以在解除安裝軟體中檢視系統補丁和第三方軟體補丁

在win10中開啟控制面板-->程式-->檢視已安裝的更新

0x05. 網站webshell查殺

D盾_防火牆專為IIS設計的一個主動防禦的保護軟體, 以內外保護的方式, 防止網站和伺服器給入侵, 在正常執行各類網站的情況下,越少的功能, 伺服器越安全的理念而設計! 限制了常見的入侵方法, 讓伺服器更安全

查殺到木馬後直接右鍵開啟檔案的位置, 刪除木馬再次查殺直到無木馬

除了asp的木馬,php的木馬D盾也可以查殺, 功能很強大還可以檢視克隆賬號等

0x06. windows日誌分析

6.1 windows稽核

開啟稽核策略, 若日後系統出現故障, 安全事故則可以檢視系統的日誌檔案, 排除故障, 追查入侵者的資訊等

win2k8: 開始->管理工具->本地安全策略->本地策略->稽核策略

Widows系統日誌檢視方式, 在windows系統中可以使用以下兩種方法開啟日誌管理器檢視系統日誌

1.開始-->管理工具-->事件檢視器2.win + r 開啟執行, 輸入"eventvwr.msc", 回車執行, 開啟"事件檢視器"

windows系統日誌篩選

在windows系統中日誌