一、文件的排查
1、开机启动有无异常文件启动
开始—运行--输入msconfig(cmd输入msconfig)
2、对系统敏感文件路径的查看
开始—运行--输入下面命令:
%WINDIR%
%WINDIR%\system32
%TEMP%
%LOCALAPPDATA%
%APPDATA%
主要查看有无异常文件以及最新生成的.bat .exe 的文件,还要根据入侵时间来判断。
3、查看Recent
Recent 是系统文件夹,里面存放着你最近使用的文档的快捷方式,查看用户recent相关文件分析可疑文件。根据文件夹文件列表时间(已知入侵时间点、文件等)进行排序,查找可疑文件。
开始—运行--输入%UserProfile%\Recent
4、查看文件时间
查看文件创建时间、修改时间、访问时间,黑客通过Webshell连接工具改变的是修改时间,所以如果修改时间在创建时间之前明显是可疑文件。
二、进程、端口排查
检查端口连接情况,是否有远程连接、可疑连接
1、查看进程
使用netstat -ano 查看目前网络连接,定位可疑的ESTABLISHED
Netstat 显示网络连接、路由表和网络接口信息;
参数说明:
-a 显示所有网络连接、路由表和网络接口信息;
-n 以数字形式显示地址和端口号
-o 显示与每个连接相关的所属进程ID
-r 显示路由表
-s 显示按协议统计信息、默认地、显示IP
常见的状态说明
LISTENING 侦听状态
ESTABLISHED 建立连接
CLOSE_WAIT 对方主动关闭连接或者网络异常导致连接终端
2、进程排查
方法一:
1、根据netstat 定位出的pid,在通过tasklist 命令进行进程定位
netstat -ano | findstr ESTABLISHED
tasklist | findstr 2528
2、然后根据wmic process 获取进程的全路径
wmic process | findstr "OfficeIm.exe"
3、通过任务管理器定位进程路径
a、任务管理器--选择对应进程--右键打开文件位置
b、运行输入 wmic,cmd界面 输入 process
4、tasklist /svc 进程--PID--服务
5、查看Windows服务所对应的端口
C:\Windows\System32\drivers\etc
%system%/system32/drivers/etc/services(一般%system%就是C:\Windows)
方法二:
通过工具,查看可疑的进程及其子进程。可以通过观察以下内容:
没有签名验证信息的进程
没有描述信息的进程
进程的属主
进程的路径是否合法
CPU或内存资源占用长时间过高的进程
1、开始--运行--输入msinfo32,依次点击“软件环境→正在运行任务”就可以查看到进程的详细信息,比如进程路径、进程ID、文件创建日期、启动时间等。
2、打开D盾_web查杀工具或者火绒剑,进程查看,关注没有签名信息的进程。
3、通过微软官方提供的 Process Explorer 等工具进行排查 。
三、检查启动项、计划任务、服务
1、检查服务器是否有异常的启动项
a、进入C盘查看启动目录,默认情况下此目录在是一个空目录,确认是否有非业务程序在该目录下。
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
b、【运行】CMD,输入 msconfig,查看是否存在命名异常的启动项目,是则取消勾选命名异常的启动项目,并到命令中显示的路径删除文件。
c、【运行】,输入 regedit,打开注册表,查看开机启动项是否正常,特别注意如下三个注册表项:
HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
检查右侧是否有启动异常的项目,如有请删除,并建议安装杀毒软件进行病毒查杀,清除残留病毒或木马。
d、利用安全软件查看启动项、开机时间管理等。
e、组策略,运行gpedit.msc。查看启动项位置:用户配置 - 管理模板 - 系统 - 登录 - 在用户登录时运行这些程序
2、检查计划任务
a、【控制面板】>(管理工具)【任务计划程序】,查看计划任务属性,便可以发现木马文件的路径。
b、单击【开始】>【运行】;输入 cmd,然后输入at(schtasks),检查计算机与网络上的其它计算机之间的会话或计划任务,如有,则确认是否为正常连接。
3、服务自启动
单击【开始】>【运行】,输入services.msc,注意服务状态和启动类型,检查是否有异常服务。
四、系统账号检查
1、查看服务器是否有弱口令,远程管理端口是否对公网开放。
检查方法:据实际情况咨询相关服务器管理员。
2、查看服务器是否存在可疑账号、新增账号。
检查方法:打开 cmd 窗口,输入lusrmgr.msc命令,查看是否有新增/可疑的账号,如有管理员群组的(Administrators)里的新增账户,如有,请立即禁用或删除掉。
3、查看安全标识符、SAM安全账户管理器
SID 永远都是唯一的。由计算机名,当前时间,当前用户态线程的CPU耗费时间的总和三个参数决定以保证它的唯一性
检查方法:
a、打开cmd,然后输入 wmic useraccount get name,sid
b、regedit打开注册表,进入HKEY_LOCAL_MACHINE\SAM\SAM;HKEY_LOCAL_MACHINE\SECURITY,进行查看
4、查看服务器是否存在隐藏账号、克隆账号
检查方法:
a、打开注册表 ,查看管理员对应键值。
使用regedit打开注册表编辑器找到[HKEY_LOCAL_MACHINE]——[SAM]——[SAM]——[Domains]——[Account]——[Users]
b、使用D盾_web查杀工具,集成了对克隆账号检测的功能。
5、结合日志,查看管理员登录时间、用户名是否存在异常。
a、Win+R打开运行,输入“eventvwr.msc”,回车运行,打开“事件查看器”。
b、导出Windows日志--安全,利用Log Parser进行分析。
六、检查系统相关信息
1、查看系统版本以及补丁信息
检查方法:单击【开始】>【运行】,输入systeminfo,查看系统信息
2、查找可疑目录及文件
检查方法:
a、 查看用户目录,新建账号会在这个目录生成一个用户目录,查看是否有新建用户目录。
b、单击【开始】>【运行】,输入%UserProfile%\Recent,分析最近打开分析可疑文件。
c、在服务器各个目录,可根据文件夹内文件列表时间进行排序,查找可疑文件。
d、回收站、浏览器下载目录、浏览器历史记录
e、修改时间在创建时间之前的为可疑文件
七、相关工具
1、病毒分析
- PCHunter:http://www.xuetr.com
- 火绒剑:https://www.huorong.cn
- Process Explorer:https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer
- processhacker:https://processhacker.sourceforge.io/downloads.php
- autoruns:https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns
- OTL:https://www.bleepingcomputer.com/download/otl/
- SysInspector:http://download.eset.com.cn/download/detail/?product=sysinspector
2、病毒查杀
- 卡巴斯基:http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe (推荐理由:绿色版、最新病毒库)
- 大蜘蛛:http://free.drweb.ru/download+cureit+free(推荐理由:扫描快、一次下载只能用1周,更新病毒库)
- 火绒安全软件:https://www.huorong.cn
- 360杀毒:http://sd.360.cn/download_center.html
3、病毒动态
- CVERC-国家计算机病毒应急处理中心:http://www.cverc.org.cn
- 微步在线威胁情报社区:https://x.threatbook.cn
- 火绒安全论坛:http://bbs.huorong.cn/forum-59-1.html
- 爱毒霸社区:http://bbs.duba.net
- 腾讯电脑管家:http://bbs.guanjia.qq.com/forum-2-1.html
4、在线病毒扫描网站
- http://www.virscan.org //多引擎在线病毒扫描网 v1.02,当前支持 41 款杀毒引擎
- https://habo.qq.com //腾讯哈勃分析系统
- https://virusscan.jotti.org //Jotti恶意软件扫描系统
- http://www.scanvir.com //针对计算机病毒、手机病毒、可疑文件等进行检测分析
5、webshell查杀
- D盾_Web查杀:http://www.d99net.net/index.asp
- 河马webshell查杀:http://www.shellpub.com
- 深信服Webshell网站后门检测工具:http://edr.sangfor.com.cn/backdoor_detection.html
- Safe3:http://www.uusec.com/webshell.zip