Windows主機入侵分析思路
阿新 • • 發佈:2018-05-15
雲安全 入侵分析 Windows IaaS 雲平臺 一、如何找到惡意文件
(3)進程分析神器Process Explore https://technet.microsoft.com/en-us/sysinternals/bb896653/
(4)簡單粗暴:360安全衛士木馬全盤查殺
- 檢查網絡連接 netstat -ano,如有惡意對外連接需要註意哦,特別是挖礦、對外暴力破解。
- 根據PID找到進程
tasklist | findstr "$PID" 或 wmic process get name,executablepath,processid | findstr $PID
$PID為可以進程的PID號
- 找到惡意文件
(1)利用任務管理器和CMD命令行手工找惡意文件
- 任務管理器 taskmgr
- 服務 services.msc
(2)進程分析神器PC Hunter (www.xuetr.com ) 沒有發布方簽名的、名字/路徑異常的都可能是可以進程
(4)簡單粗暴:360安全衛士木馬全盤查殺
關於PC Hunter和Process Explore,我會在其他篇章中具體介紹。
- 找到可以文件後將其上傳到木馬鑒別網站
- 微步在線:https://x.threatbook.cn/
- virustotal:www.virustotal.com
二、日誌分析
1.windows自帶日誌管理器:eventvwr
2.日誌分析神器splunk
- 查找關鍵時間點是否存在爆破登錄記錄
- 是否存在異地異常成功登錄記錄
- 確認遠程登錄賬戶是否存在弱口令
Event ID:4722創建用戶
Event ID:4624RDP登錄成功
Event ID:7045註冊為windows服務
關於windows登錄成功的日誌和借助Splunk分析將會在其他篇章中介紹。
三、其他輔助手段
1.查看用戶 net user
2.檢測否是弱密碼 https://password.kaspersky.com/
3.性能監視器 perfmon.msc
4.資源監視器 resmon.exe
5.註冊表 regedit.exe
6.組策略 gpedit.msc
7.Wndows更新檢查
- 2008:控制面板\所有控制面板項\Windows Update
- 2012:控制面板\所有控制面板項\Windows 更新\查看更新歷史記錄"
8.查看計劃任務
a) Windows server 2008 運行at
b) Windows server 2012 運行schtasks.exe
9.雲服務商一般都會提供態勢感知服務,借助IDS/WAF/安全防護日誌輔助分析
Windows主機入侵分析思路