windows下应急响应工具列表

windows

主要依赖微软sysinternals工具库

文件

敏感的文件路径: 更多可以使用 cmd->set 进行查看
%WINDIR%
%WINDIR%\sytem32
%TEMP% 临时文件
%LOCALAPPDATA% 应用程序本地数据
%APPDATA% 一个对Application Data路径的简记形式
%UserProfile%\Recent 最近打开的文件

• 查看文件属性
  attrib 文件

• 查看文件权限
  cacls 文件

• 计算文件md5
  certutil -hashfile image.png md5
  certutil -hashfile /? # 查看支持的更多hash
  该命令支持的 哈希算法: MD2 MD4 MD5 SHA1 SHA256 SHA384 SHA512

• 文件内容检索
  find /N “要找的内容” 路径 # 查找字符串 在指定的文件中

• 图形界面
  选中文件->鼠标右键->属性
  常规选项卡 查看文件的属性 和创建时间
  详细信息选项卡 查看文件所有者
  安全选项卡 查看文件的所有者

进程

tasklist

taskmgr

任务管理器
默认不显示进程的绝对路径，选中进程-> 右键属性-> 打开文件所在位置

wmic

查看进程的全路径

wmic process | findstr "taskmgr"   
wmic process where name="cmd.exe" get executablepath  
wmic SERVICE # 查询服务  
wmic startup list full #枚举自启动项  
1
2
3
4

procexp

• 进程数
  可以看出父子进程之间的关系
• 初步筛查
  根据进程的描述信息、公司名、签名验证
• VirusTotal
  基于VirusTotal进行检测，选中进程行 -> 右键 -> Check VirusTotal
• 基本信息
  启动进程的用户名、路径、自启动方式(如果有),网络请求
• 进程属性
  选中进程 -> 属性
  Image选项卡 基本信息，路径、当前路径、自启动方式、父进程、启动用户、开始时间、VirusTotal结果
  Peformance 选项卡 基本的CPU、I/O、内存、句柄等统计信息
  Threads选项卡 线程信息
  TCP/IP选项卡，网络连接信息
  System选项卡, 启动的用户和sid
  Environment选项卡,环境变量
  strings选项卡(镜像和内存两个选项)，提取进程的所有字符串，并且可以进一步搜索
• 基本配置
  View -> Select Columns 可以设置每个窗口(进程、内存、Dll)显示的列表
  View -> update Speed 可以设置信息更新的时间间隔，也可以暂停 当进程刷新的比较快时，是有帮助的
  Process 菜单与选中进程鼠标右键显示的菜单一样，主要是 VirusTotal检测 ，在线查找，主要是使用bing搜索引擎，查找进程相关信息
  Find菜单 主要是查询进程或者DLL/句柄等，如果知道一个恶意的DLL文件，直接使用这个就能检索到哪些进程引用了，方便进一步定位信息，比如想知道某个handle Name在哪个进程中被使用，可以根据这个进行查找
  DLL或者Handle菜单 是相互切换的，可以使用工具栏的按钮进行选择
• DLL检索
  DLL与进程检索方式基本相同，只不过需要先选中进程，点击工具栏DLL按钮，才能在界面下发，显示进程所引用的dll列表，也是可以通过描述，公司名，路径，验证前面，VirusTotal进行判断
  DLL的属性中可以看到 Strings和Image两个选项卡,更多信息，可以在View->Select Columns进行选择(比如网络发包等信息)

有时间可以翻译process Exploere 的帮助文档
颜色说明信息

Pink – Windows Service hosting processes   
Blue – Current user launched processes   
Cyan – Windows app store application   
Purple – Indicates a “packed” piece of software   
Green – Newly launched processes   
Red – Terminated process   
Dark Gray – Suspended process    
1
2
3
4
5
6
7

进程排查

Procmon

进程行为监视器
对进程的行为:读文件、操作注册表、网络行为
最好是知道一个进程的PID，然后通过Filter进行过滤 定向监控，否则将导致显示的数据太多了

网络

netstat

查看网络连接包括 进程ID

netstat -ano  
1

需要过滤出建立连接的信息

netstat -ano | findstr "ESTABLISHED"  
netstat -ano | findstr "ESTABLI*"
1
2

TCPView

网络连接查看器，默认显示进程名，进程ID, 网络协议(TCP/UDP),连接状态，本地IP，本地端口,远程IP,远程端口，创建时间，发包和收包数量

可按照列表块，进行排序，比如按 创建时间 进行降序或者升序
选中一行，可以点击进程属性，查看进程完整路径，也可以直接打开进程所在文件夹Explore
连接菜单下，有whois查询，当连接中有域名时，可以直接使用这个查询 whois信息
暂停刷新，有时显示的连接比较多，可以点击暂停 按钮，进行刷新，记录信息
复制结果，点击一行，Ctrl+C 复制内容

公网IP检索

360威胁情报中心
微步在线威胁中心
深信服威胁情报中心

自启动

计划任务

schtasks /query /fo table /v  
compmgmt.msc # 任务计划程序  
taskschd.msc  # 计划任务管理器  
1
2
3

autorun

自启动项显示

wmic startup list full #枚举自启动项
1

账号

查看本地用户和组 寻找 隐藏账号

lusrmgr.msc
1

query user  # 查看当前登录的用户信息  
logoff 1    # 剔出对应ID  
1
2

其他

eventvwr.msc  日志管理器 ，日志分析文章 https://mp.weixin.qq.com/s/xGykym7m71TXXkFhU8XrfQ  
补丁比对小工具  https://github.com/neargle/win-powerup-exp-index   
RDCman 管理多个远程桌面连接   
sysmon  系统监控
strings 字符串查找 
1
2
3
4
5

综合工具

pcHunter   下载地址 http://www.xuetr.com/   
火绒剑     https://www.huorong.cn/person5.html 
1
2

参考文献

GB/T 24363-2009 信息安全技术 信息安全应急响应计划规范
GB/T 28827.3-2012 信息技术服务 运行维护 第3部分：应急响应规范
GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南
微软sysinternals工具库
lsof命令介绍
yara基于规则分析程序 开源
apimonitor
processhacker
国家网络安全事件应急预案
奇安信 2020年网络安全应急响应分析报告 2021
上海市网络安全事件应急预案 2019
应急响应笔记非常优秀
溯源和反制总结
各种日志分析