蓝队应急响应之Windows篇

小咪咪 2023-10-06 23:34 1阅读 0赞

## Windows篇 ##

### 开机启动文件检测 ###

**有些病毒木马喜欢藏在系统文件里，开机后会随着系统文件的启动而自动运行木马程序。**

#### 1、查看启动菜单： ####

C:\Users\leo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

![请添加图片描述][10158d500bdf4ec0a0f00e433a03c9df.png]

#### 2、运行执行msconfig命令 ####

![请添加图片描述][ca7a953875d24d48a79c4b2a4f1bb35c.png]

![请添加图片描述][eeb24a23df29465096e86413d76a0a2a.png]

#### 3、查看注册表自启动配置 ####

**Win10自启动注册表如下：**

计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

![请添加图片描述][d0eb1e2eac964211864bc958a7d0f955.png]

**win7自启动注册表如下：**

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

![请添加图片描述][cb7b2ac907f74e2f89a99f28515fce1a.png]

#### 4、检查服务自启动 ####

在运行输入`services.msc`查看服务启动状态

### Temp临时文件异常 ###

有些PE(exe，dll，sys)文件会隐藏在Temp文件目录里，还有一些比较大的TMP文件，这些都是比较可疑的，需将这些可疑的文件发到检测病毒的网站进行检测

#### Temp文件目录： ####

C:\Users\leo\AppData\Local\Temp

可以在运行里搜索`%temp%`直接跳转到temp目录

### 浏览器信息分析 ###

可以通过分析浏览器里的一些信息来判断服务器是否被黑客入侵了

#### 1、分析浏览器的浏览记录 ####

可以使用**browserhistoryview**  
![请添加图片描述][1ee72ab2261b4089b42c69181829c8da.png]

#### 2、分析浏览器的下载记录 ####

可以使用**browserdownloadview**工具进行查看  
![请添加图片描述][0e958e64764a49e7a63807d95ccf0db3.png]

#### 3、分析浏览器的cookie信息 ####

可以使用**IEcookieview**工具进行查看

![请添加图片描述][803a9b7f25184d43865d062d582c5c77.png]

### 文件时间属性分析 ###

文件的创建时间永远是早于或等于修改时间，如果修改时间早于创建时间，就说明该文件十分可疑，因为webshell管理工具是可以修改文件的修改时间

### 文件打开时间分析 ###

**Recent目录里含有最近打开过的文件，看看此目录下是否有可疑的文件，Recent目录地址如下**

在运行输入`%UserProfile%\Recent`来打开

C:\Users\leo\Recent

![请添加图片描述][2c881c32c98c4603be31457cafc55611.png]

**在cmd使用`find`命令可以快速查询到含有指定内容的文件**

![请添加图片描述][54b4a68c013d403bbc2e49645d65aebb.png]

### 分析可疑进程 ###

**如果计算机被种植了木马，那么木马肯定会与外部进行通信，每一次通信都会有不同的端口，可以通过网络连接状态来查找到木马的程序，以下是对进程操作的cmd命令。**

`netstat -ano | find "ESTABLISHED"` 查看已建立的网络连接，可以通过非寻常的端口来确认可疑程序，443,80端口大部分都为正常，特别要注意那些不寻常的端口

![请添加图片描述][d1f90dbe57bc4eabbdc8c00885ebb3d5.png]

`tasklist /SVC | find "12760"` 列出指定pid的任务进程，/svc是列出此进程调用的服务

![请添加图片描述][f3d41752bc8f4524865e36a35d90f90e.png]

`taskkill /pid 12760 /F /T` 强制终止指定pid进程

![请添加图片描述][ac370eb8bede4074a1c136d979e51ced.png]

### 分析Windows计划任务 ###

黑客会经常给受害机设置计划任务来维持木马的运行

#### 创建任务计划的命令如下： ####

schtasks /create  /tn test /sc DAILY /st 23:18 /tr C:\\beacon.exe /F

![请添加图片描述][41b0ba39f5c44de6b03ede30f2221be7.png]  
![请添加图片描述][511a3c7dcad04b22a6c7a2ef0057ccf1.png]

#### 通过任务计划程序(可视化界面)查看 ####

![请添加图片描述][f59556cf4a2149cba76ca66ec824ff74.png]

![请添加图片描述][53d16b164b13446cad9f5d788fdbb2ea.png]

### 检查账号安全 ###

#### 分析服务器账号 ####

检查服务器是否存在弱口令，远程端口是否对外开放

查看服务器是否存在可疑账号以及新增账号，可以通过cmd命令：`lusrmgr.msc`进行查看

分析日志，打开时间查看器，可以在运行输入`eventvwr.msc`打开时间查看器，当然也可以使用微软的LogParser进行分析日志

#### 分析隐藏账户 ####

在计算机建立隐藏账户来维持对其的控制权限，使用`net user`命令也查询不到隐藏账户，以下是建立隐藏账户的cmd命令，你可以在用户管理界面将隐藏账户进行删除或者修改其权限

net user test$ qQ123456 /add     //添加隐藏账户test
    
    net user localgroup administrators  test$ /add    //将test账户权限提升至管理员

![请添加图片描述][a38cf71d71e1476591cd5ec095c6fccc.png]

黑客还可以利用注册表新建账户，这种更难被察觉到，以下利用hideadmin工具针对注册表创建隐藏用户。

![请添加图片描述][872f3819c129481eac62438efded922e.png]

`HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users`为注册表用户所在目录

注意：要进入此目录需要给SAM目录给予权限

![请添加图片描述][846b6c0dec0b48a1be03ebe078c51421.png]

进入目录后寻找隐藏账户并且将其删掉，注意：需删除两个目录

![请添加图片描述][09317c414eb24e3a881df86369032dc3.png]

### 分析恶意进程 ###

使用**process exploer**工具可以对任务管理器进程进行分析，可以直接将可疑进程发送到病毒检测网站进行检测，随后进行删除操作。

![请添加图片描述][60935506638542eda5ad038cb20eb5f1.png]

![请添加图片描述][ddbd3cf541af4e8dbfdb576e6d28a1bb.png]

### 检查系统更新与补丁 ###

执行cmd命令`systeminfo`查看系统已安装补丁，也可以查看控制面板程序的已安装更新面板来查看补丁。win10直接在设置里的更新与安全进行查看更新。

![请添加图片描述][243907b8b7f74b9c849364acd6ebd232.png]

![请添加图片描述][e37f51fba22d45e8b6085fde85abbf8c.png]

### Windows审核策略 ###

#### 本地审核策略 ####

若系统出现问题，即可查询到日志信息或追踪入侵者。

![请添加图片描述][a216ea0658e540afabcf7f3b9e8b874b.png]

#### Windows日志筛选 ####

通过筛选功能可以更方便查询到指定的事件内容，不同的事件ID对应不同的事件操作

<table> 
 <thead> 
  <tr> 
   <th>4624</th> 
   <th>4625</th> 
   <th>4634</th> 
   <th>4647</th> 
   <th>4672</th> 
  </tr> 
 </thead> 
 <tbody> 
  <tr> 
   <td>登录成功</td> 
   <td>登录失败</td> 
   <td>注销成功</td> 
   <td>用户启动的注销</td> 
   <td>超级用户(管理员)登录</td> 
  </tr> 
 </tbody> 
</table>

![请添加图片描述][ffba5bd470314a04bc4626ca6b8e8bcd.png]  
![请添加图片描述][ccd2a872fe5d4461805cb568a3377d99.png]

使用管理员账户远程登录主机时,主机会出现以下的事件ID

<table> 
 <thead> 
  <tr> 
   <th>4776</th> 
   <th>4648</th> 
   <th>4624</th> 
   <th>4672</th> 
  </tr> 
 </thead> 
 <tbody> 
  <tr> 
   <td>凭据验证</td> 
   <td>凭据登录</td> 
   <td>登录成功</td> 
   <td>超级用户登录</td> 
  </tr> 
 </tbody> 
</table>

![请添加图片描述][8d38af2b4b2947979c7a5dd134d9b962.png]

在入侵提权过程中,黑客一般都会利用net user或者net localgroup语句创建用户,日志记录的事件ID为:4732,4722,4724

<table> 
 <thead> 
  <tr> 
   <th align="center">4732</th> 
   <th align="center">4724</th> 
   <th align="center">4722</th> 
  </tr> 
 </thead> 
 <tbody> 
  <tr> 
   <td align="center">添加用户</td> 
   <td align="center">重置用户密码</td> 
   <td align="center">启用用户账号</td> 
  </tr> 
 </tbody> 
</table>

![请添加图片描述][ba84d5c4733545cababb84cd4f1a189d.png]  
![请添加图片描述][2ca619d329784f6d988151a128276c2a.png]

### 映像劫持 ###

简单来说就是打开了程序A，而却运行了程序B

利用修改注册表的方式实现映像劫持, 下面列举两种不同的劫持姿势

#### 劫持步骤 ####

**1、旧方式劫持**

此处演示的案例是五次shift键触发后门，Optionssethc.exe为五次shift键触发程序

按五次shift键后并不会执行原程序，而是会执行我们设置的后门程序calc.exe

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Optionssethc.exe" /v debugger /t REG_SZ /d "c:\windows\system32\calc.exe"

![请添加图片描述][fef9942d90214a2ca2dad69abbf45a65.png]

**2、新方式劫持**

按五次shift键后会执行原程序, 原程序关闭后执行后门程序calc.exe

将MonitorProcess 的值修改成后门程序的地址

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Optionssethc.exe" /v GlobalFlag /t REG_DWORD /d 512
    
    reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\notepad.exe" /v ReportingMode /t REG_DWORD /d 1
    
    reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\notepad.exe" /v MonitorProcess /t REG_SZ /d "c:\windows\system32\calc.exe"

#### 劫持的应急 ####

**查看以下两个注册表目录,看看有没有可疑的东西**

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit

**如下图所示, 这种目录就是可疑目录, 可直接删除IFEO(Image File Execution Options)项或者设置管理员不可修改**

![请添加图片描述][1ec6ab048cd34ffdbe09ca164ad0b8cf.png]

![请添加图片描述][de718cf219c847719daae1959507df0b.png]

**分析系统日志，日志ID为3000和3001，即有可能存在后门威胁。**

[10158d500bdf4ec0a0f00e433a03c9df.png]: https://img-blog.csdnimg.cn/10158d500bdf4ec0a0f00e433a03c9df.png
[ca7a953875d24d48a79c4b2a4f1bb35c.png]: https://img-blog.csdnimg.cn/ca7a953875d24d48a79c4b2a4f1bb35c.png
[eeb24a23df29465096e86413d76a0a2a.png]: https://img-blog.csdnimg.cn/eeb24a23df29465096e86413d76a0a2a.png
[d0eb1e2eac964211864bc958a7d0f955.png]: https://img-blog.csdnimg.cn/d0eb1e2eac964211864bc958a7d0f955.png
[cb7b2ac907f74e2f89a99f28515fce1a.png]: https://img-blog.csdnimg.cn/cb7b2ac907f74e2f89a99f28515fce1a.png
[1ee72ab2261b4089b42c69181829c8da.png]: https://img-blog.csdnimg.cn/1ee72ab2261b4089b42c69181829c8da.png
[0e958e64764a49e7a63807d95ccf0db3.png]: https://img-blog.csdnimg.cn/0e958e64764a49e7a63807d95ccf0db3.png
[803a9b7f25184d43865d062d582c5c77.png]: https://img-blog.csdnimg.cn/803a9b7f25184d43865d062d582c5c77.png
[2c881c32c98c4603be31457cafc55611.png]: https://img-blog.csdnimg.cn/2c881c32c98c4603be31457cafc55611.png
[54b4a68c013d403bbc2e49645d65aebb.png]: https://img-blog.csdnimg.cn/54b4a68c013d403bbc2e49645d65aebb.png
[d1f90dbe57bc4eabbdc8c00885ebb3d5.png]: https://img-blog.csdnimg.cn/d1f90dbe57bc4eabbdc8c00885ebb3d5.png
[f3d41752bc8f4524865e36a35d90f90e.png]: https://img-blog.csdnimg.cn/f3d41752bc8f4524865e36a35d90f90e.png
[ac370eb8bede4074a1c136d979e51ced.png]: https://img-blog.csdnimg.cn/ac370eb8bede4074a1c136d979e51ced.png
[41b0ba39f5c44de6b03ede30f2221be7.png]: https://img-blog.csdnimg.cn/41b0ba39f5c44de6b03ede30f2221be7.png
[511a3c7dcad04b22a6c7a2ef0057ccf1.png]: https://img-blog.csdnimg.cn/511a3c7dcad04b22a6c7a2ef0057ccf1.png
[f59556cf4a2149cba76ca66ec824ff74.png]: https://img-blog.csdnimg.cn/f59556cf4a2149cba76ca66ec824ff74.png
[53d16b164b13446cad9f5d788fdbb2ea.png]: https://img-blog.csdnimg.cn/53d16b164b13446cad9f5d788fdbb2ea.png
[a38cf71d71e1476591cd5ec095c6fccc.png]: https://img-blog.csdnimg.cn/a38cf71d71e1476591cd5ec095c6fccc.png
[872f3819c129481eac62438efded922e.png]: https://img-blog.csdnimg.cn/872f3819c129481eac62438efded922e.png
[846b6c0dec0b48a1be03ebe078c51421.png]: https://img-blog.csdnimg.cn/846b6c0dec0b48a1be03ebe078c51421.png
[09317c414eb24e3a881df86369032dc3.png]: https://img-blog.csdnimg.cn/09317c414eb24e3a881df86369032dc3.png
[60935506638542eda5ad038cb20eb5f1.png]: https://img-blog.csdnimg.cn/60935506638542eda5ad038cb20eb5f1.png
[ddbd3cf541af4e8dbfdb576e6d28a1bb.png]: https://img-blog.csdnimg.cn/ddbd3cf541af4e8dbfdb576e6d28a1bb.png
[243907b8b7f74b9c849364acd6ebd232.png]: https://img-blog.csdnimg.cn/243907b8b7f74b9c849364acd6ebd232.png
[e37f51fba22d45e8b6085fde85abbf8c.png]: https://img-blog.csdnimg.cn/e37f51fba22d45e8b6085fde85abbf8c.png
[a216ea0658e540afabcf7f3b9e8b874b.png]: https://img-blog.csdnimg.cn/a216ea0658e540afabcf7f3b9e8b874b.png
[ffba5bd470314a04bc4626ca6b8e8bcd.png]: https://img-blog.csdnimg.cn/ffba5bd470314a04bc4626ca6b8e8bcd.png
[ccd2a872fe5d4461805cb568a3377d99.png]: https://img-blog.csdnimg.cn/ccd2a872fe5d4461805cb568a3377d99.png
[8d38af2b4b2947979c7a5dd134d9b962.png]: https://img-blog.csdnimg.cn/8d38af2b4b2947979c7a5dd134d9b962.png
[ba84d5c4733545cababb84cd4f1a189d.png]: https://img-blog.csdnimg.cn/ba84d5c4733545cababb84cd4f1a189d.png
[2ca619d329784f6d988151a128276c2a.png]: https://img-blog.csdnimg.cn/2ca619d329784f6d988151a128276c2a.png
[fef9942d90214a2ca2dad69abbf45a65.png]: https://img-blog.csdnimg.cn/fef9942d90214a2ca2dad69abbf45a65.png
[1ec6ab048cd34ffdbe09ca164ad0b8cf.png]: https://img-blog.csdnimg.cn/1ec6ab048cd34ffdbe09ca164ad0b8cf.png
[de718cf219c847719daae1959507df0b.png]: https://img-blog.csdnimg.cn/de718cf219c847719daae1959507df0b.png