windows-应急响应

 · 2020-10-27 · 次阅读


0x00定位事件发生时间

排查事故发生时间,

Windows:

右键打开文件属性可以看文件的详情:

image-20200920192746333

临时处置:隔离

win+r msconfig

image-20200920193139824

查看其中是否有异常的开启服务或是启动的进程。

还可检查下各个盘下的temp(tmp)相关目录下查看有无异常文件:Windows产生的临时文件:

image-20200920193337139

3.通过Recent文件夹(存放最近使用的文档的快捷方式)

通过查看最近打开的文件分析可疑文件并追踪病毒发生的时间。

win+r ->%UserProfile%\Recent

image-20200920193734300

0x01文件排查

开机启动有无异常文件:

查看账户相关信息:
net user 用户名

image-20200920192540117

进程排查

image-20200920194510192

接下来就要仔细排查下这些建立连接的是否存在异常了。当我们可以看到上面基本上是web页面,因而自己的主机不存在异常。

当然为了安全我们可以使用tasklist|findstr pid看一下具体是什么进程:

image-20200920194946820

这里仔细分析下这个10.165.35.24是一个类似qq聊天的软件,因而存在这么个ecm.exe。

接下来是蓝信:

image-20200920195157191

依然是走的console。

利用wmic process + pid

可以查看进程的详尽信息:

windows账号信息(排查是否建立隐藏账号)

win+r输入compmgmt.msc 本地用户和组 用户

用户名以$结尾的为隐藏用户(如admin$)

net user可收集用户信息(看不到隐藏用户)

上面的方法可以看到。

也可固定查看某个用户的详细信息,使用命令net user username

image-20200920201000486

使用query user查看当前系统用户的会话(排查是否有人远程终端登陆服务器):

image-20201109124511598

如果有可以使用logoff ID 踢出该用户

补丁信息

使用systeminfo可以排查是否打了补丁:

image-20201109124610688

日志排查

win+r -> eventvwr

image-20201109124744077

查询计划任务:

schtasks /query /fo LIST /v