freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

应急响应 | win常见应急排查
2024-07-29 11:07:12

前言

在进行 应急响应时,我们首先需要对系统进行一个全面的排查,发现可能存在问题的点,如是否存在恶意进程,恶意文件等。本篇文件就来看看win下手工排查时常用的系统命令。

一般会从下面的方面进行排查:系统排查,用户信息排查,进程排查,服务排查,文件痕迹排查,日志排查,内存分析,流量分析,威胁情报。

系统排查

系统排查主要是为了快速的了解机器的一些基本信息,包括系统版本,硬件信息等

1)msinfo32命令:系统信息工具

通过该命令可以查看系统的一些基本信息,如进程信息,网络连接,加载的模块等等

1722221434_66a7037a8eaf8ec190885.png!small?1722221435066

2)systeminfo

也可以通过systeminfo命令来查看这些信息

1722221481_66a703a99b06ef854402c.png!small?1722221482122

用户信息排查

在服务器被入侵后,攻击者可能会建立相关账户(有时是隐藏或克隆账户),方便进行远程控制。攻击者会采用的方法主要有如下几种:

第1种是最明目张胆的,即直接建立一个新的账户(有时是为了混淆视听,账户名称与系统常用名称相似);

第2种是激活一个系统中的默认账户,但这个账户是不经常使用的;

第3种是建立一个隐藏账户(在Windows系统中,一般在账户名称最后加$)。

无论攻击者采用哪种方法,都会在获取账户后,使用工具或是利用相关漏洞将这个账户提升到管理员权限,然后通过这个账户任意控制计算机。

1)net user命令查看用户信息

net user

PS:该命令看不到以$结尾的隐藏账户

1722221524_66a703d41dffe65655ddb.png!small?1722221524567

net user username可以查看账号的详细信息

1722221528_66a703d8a69db2338e0dc.png!small?1722221529085

2)计算机管理窗口查看

直接打开计算机管理或者在命令行输入lusrmgr.msc可以打开界面查看账户信息

该方式可以看到隐藏的用户

1722221540_66a703e4e0bbf592f9ecd.png!small?1722221541496

3)通过注册表查看

打开【注册表编辑器】窗口,选择【HKEY_LOCAL_MACHINE】下的【SAM】选项,为该项添加【允许父项的继承权限传播到该对象和所有子对象。包括那些在此明确定义的项目】和【用在此显示的可以应用到子对象的项目替代所有子对象的权限项目】权限,使当前用户拥有SAM的读取权限

1722221557_66a703f54e295514effeb.png!small?1722221557807

添加权限完成后按【F5】键,刷新后即可访问子项并查看用户信息

1722221562_66a703fad00334b3f5955.png!small?1722221563328

同时,在此项下导出所有以00000开头的项,将所有导出的项与000001F4(该项对应Administrator用户)导出内容做比较,若其中的F值相同,则表示可能为克隆账户。

4)wmic方法

wmic扩展WMI(Windows Management Instrumentation,Windows管理工具),提供从命令行接口和批命令脚本执行系统管理支持。在命令行中输入【wmic useraccount get name,SID】命令,可以查看系统中的用户信息

1722221572_66a70404f048051820c29.png!small?1722221573408

启动项

启动项是开机时系统在前台或者后台运行的程序。操作系统在启动时,通常会自动加载很多程序。启动项是病毒后门等实现持久化驻留的一种常用方法,在应急响应中也是排查的必要项目。

1)通过系统配置查看

命令行输入msconfig,打开系统配置对话框

1722221596_66a7041c8437cf259f840.png!small?1722221597016

2)注册表

注册表是操作系统中一个重要的数据库,主要用于存储系统所必需的信息。注册表以分层的组织形式存储数据元素。数据项是注册表的基本元素,每个数据项下面不但可以存储很多子数据项,还可以以键值对的形式存储数据。注册表的启动项是恶意程序的最爱,很多病毒木马通过注册表来实现在系统中的持久化驻留。特别是我们在安装了新的软件程序后,一定不要被程序漂亮的外表迷惑,需要看清楚它的本质,是否是木马的伪装外壳或是捆绑程序,必要时可以根据备份来恢复注册表。

注册表目录的含义如下。

(1)HKEY_CLASSES_ROOT(HKCR):此处存储的信息可确保在Windows资源管理器中执行时打开正确的程序。它还包含有关拖放规则、快捷方法和用户界面信息的更多详细信息。

(2)HKEY_CURRENT_USER(HKCU):包含当前登录系统的用户的配置信息,有用户的文件夹、屏幕颜色和控制面板设置。

(3)HKEY_LOCAL_MACHINE(HKLM):包含运行操作系统的计算机硬件特定信息,有系统上安装的驱动器列表及已安装硬件和应用程序的通用配置。

(4)HKEY_USERS(HKU):包含系统上所有用户配置文件的配置信息,有应用程序配置和可视设置。

(5)HKEY_CURRENT_CONFIG(HCU):存储有关系统当前配置的信息。

与系统启动相关的启动项通常位于以下几个位置:

- HKEY_LOCAL_MACHINE\Software\M

# 应急响应
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录