• 应急响应-分析(windows)


    1.文件分析——开机启动项

    一般情况下,各种木马、病毒等恶意程序,都会在计算机开机启动过程中自启动
    在windows系统中可以通过以下三种方式查看开机启动项:
    (1)任务管理器
    在这里插入图片描述

    (2)利用msconfig
    (3)利用注册表 regedit

    2.文件分析——tmp临时异常文件

    tmp(临时文件),使用%temp%打开文件夹
    查看 temp文件夹发现pe文件(exe\dll\sys),或者是否具有特别大的tmp文件
    将文件上传至威胁分析平台查看是否有恶意行为
    在这里插入图片描述

    3.文件分析——浏览器信息分析

    在被黑客拿下的服务器后,很有可能会使用浏览器进行网站的访问,因此我们可以查看浏览器记录,探索浏览器是否被使用,下载恶意代码 查看浏览器记录:brosinghiatoryview
    下载地址:https://www.nirsoft.net/utils/browsing_history_view.html
    可以查看文件名称、下载地址、网页地址、开始下载时间、结束时间、保存位置等等在这里插入图片描述 浏览器文件下载记录查看:broserdownloadview 下载地址:https://www.nirsoft.net/utils/web_browser_downloads_view.html浏览器cookie信息查看:chromecookiesview、iecv、edgecookiesview
    下载:只接搜,找官网下载

    4.文件分析-文件时间属性

    在windows系统下,文件属性的时间属性具有:创建时间、修改时间、访问时间(默认情况下禁用)
    在默认情况下,计算机是以修改时间作为展示
    右击文件,属性,查看文件创建时间、修改时间、访问时间
    如果修改时间要早于创建时间那么这个文件存在很大可疑,使用中国菜刀等工具修改的,修改时间通过文件属性可以查到创建时间,修改时间,访问时间

    5.文件分析——最近打开文件分析

    windows系统中默认记录系统中最近打开使用的文件信息
    输入%userprofile%Recent

    find /?
    find 参数 “查找内容” 文件路径

    6.进程分析-可疑进程发现与关闭

    计算机与外部网络通信是建立在tcp或udp协议上的,并且每一次通信都是具有不同的端口(0~65535)。如果计算机被木马后,肯定会与外部网络通信,那么此时就可以通过查看网络连接状态找到对应的进程ID,然后关闭进程ID就可以关闭连接状态
    netstat -ano | find “ESTABLISHED” 查看网络建立连接状态
    tasklist /svc | find “PID” 查看具体PID进程对应的程序
    taskkill /PID pid值

    7.系统信息——windows计划任务

    在计算机中可以通过设定计算任务,在固定时间执行固定操作,一般情况下,恶意代码也有可能在固定的时间设置执行
    使用schtasks命令可以查看
    或在管理器中查看计划任务管理
    在这里插入图片描述

    8系统信息——隐藏账号发现与删除

    隐藏账户,是指“黑客”入侵之后为了能持久保持对计算机访问,而在计算机系统中建立的不轻易被发现的计算机账户
    最为简单的隐藏账户建立:
    net user test$ test /add
    net localgroup adminstrator test$ /add 其中 符号可以导致系统管理员在使用 n e t u s e r 时无法看到 t e s t 符号可以导致系统管理员在使用net user时无法看到test 符号可以导致系统管理员在使用netuser时无法看到test用户

    在这里插入图片描述

    9.恶意进程-发现与关闭

    恶意代码在windows系统中运行过程中,将以进程的方式进行展示,其中恶意进程进行着各种恶意行为,对于可执行程序,可以直接使用杀毒软件进行查杀,但是并非所有的恶意进程都能够被查杀,此时可以手动查杀,使用工具psexplore,然后利用virustotal.com进行分析,对恶意相关的服务进行关闭
    在选项中选择virutotal.com
    在这里插入图片描述
    选择使用virustotal.com
    在这里插入图片描述
    发现红色标记的进程,进行关闭

    10.系统信息-补丁查看与更新

    windows系统支持补丁以修补漏洞,可以使用systemInfo查看系统信息,并展示对应的补丁信息编号,也可以在卸载软件中查看系统补丁和第三方软件补丁
    在win10中,使用快捷键 win+i 然后选择windows更新

    在这里插入图片描述
    在这里插入图片描述

  • 相关阅读:
    【Linux】---进程控制(创建、终止、等待、替换)
    Elasticsearch使用mapping映射定义以及基本的数据类型
    4. SAP ABAP OData 服务 Data Provider Class 的 GET_ENTITYSET 方法实现指南
    layUI.open在手机端小屏幕不能显示全页面,也没办法滑动
    2023最新最全【内网渗透工具】零基础安装教程
    Springboot使用Knife4j
    js ai 天花板 TensorFlow.js
    雅思口语 23九月换题季最新考题答案
    深入React源码揭开渲染更新流程的面纱
    【大厂面试必备系列】滑动窗口协议
  • 原文地址:https://blog.csdn.net/t102526/article/details/125884828