1. 程式人生 > >Windows主機入侵分析思路

Windows主機入侵分析思路

雲安全 入侵分析 Windows IaaS 雲平臺

一、如何找到惡意文件
  1. 檢查網絡連接 netstat -ano,如有惡意對外連接需要註意哦,特別是挖礦、對外暴力破解。
  2. 根據PID找到進程

tasklist | findstr "$PID" 或 wmic process get name,executablepath,processid | findstr $PID

$PID為可以進程的PID號

  1. 找到惡意文件

(1)利用任務管理器和CMD命令行手工找惡意文件

  • 任務管理器 taskmgr
  • 服務 services.msc

(2)進程分析神器PC Hunter (www.xuetr.com ) 沒有發布方簽名的、名字/路徑異常的都可能是可以進程

(3)進程分析神器Process Explore https://technet.microsoft.com/en-us/sysinternals/bb896653/
(4)簡單粗暴:360安全衛士木馬全盤查殺

關於PC Hunter和Process Explore,我會在其他篇章中具體介紹。

  1. 找到可以文件後將其上傳到木馬鑒別網站
    • 微步在線:https://x.threatbook.cn/
    • virustotal:www.virustotal.com

二、日誌分析

1.windows自帶日誌管理器:eventvwr
2.日誌分析神器splunk

  • 查找關鍵時間點是否存在爆破登錄記錄
  • 是否存在異地異常成功登錄記錄
  • 確認遠程登錄賬戶是否存在弱口令

Event ID:4722創建用戶
Event ID:4624RDP登錄成功
Event ID:7045註冊為windows服務

關於windows登錄成功的日誌和借助Splunk分析將會在其他篇章中介紹。

三、其他輔助手段

1.查看用戶 net user
2.檢測否是弱密碼 https://password.kaspersky.com/
3.性能監視器 perfmon.msc
4.資源監視器 resmon.exe
5.註冊表 regedit.exe
6.組策略 gpedit.msc
7.Wndows更新檢查

  • 2008:控制面板\所有控制面板項\Windows Update
  • 2012:控制面板\所有控制面板項\Windows 更新\查看更新歷史記錄"

8.查看計劃任務

a) Windows server 2008 運行at
b) Windows server 2012 運行schtasks.exe

9.雲服務商一般都會提供態勢感知服務,借助IDS/WAF/安全防護日誌輔助分析

Windows主機入侵分析思路