文章首发先知社区,原文地址——https://xz.aliyun.com/t/10434

Windows系统事件排查

一般情况下,各种木马病毒等恶意程序都会在计算机开机启动过程中自行启动。

在Windows系统中查看启动项,首先要排查的就是开机自启项。开始菜单里的程序中的自启

C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

查看应用程序中是否存在陌生的程序或者可疑程序(非机主自己安装)。

image-20211019195802393

启动项中,可疑文件名,

可以通过msconfig查看启动项,win10系统的启动项转移到任务管理器中查看了

image-20211019203937062

查看是否存在可疑项。

查看缓存文件,C盘一般在C:/Windows/Temp

image-20211019205702866

这些都是Windows产生的临时文件,比如:WinRAR等压缩工具对压缩包进行解压的时候会先解压在临时文件夹中,然后从这个临时文件夹中移动到目标文件夹。

Recent系统文件夹,里面存放着最近使用的文档快捷方式,可以看到近期修改的文件以及修改日期。

打开方式:WIN+R -> %UserProfile%\Recent

image-20211019210821280

也可以直接通过日期选项进行排查

image-20211019211806801

再有就是查看文件的创建时间、修改时间、访问时间,黑客一般通过菜刀蚁剑类工具对文件做出修改,后面可以通过文件修改时间来判断该文件是否可疑。如果修改时间在创建时间之前,名显就是可疑文件了。

image-20211020185931661

接下来是注册表,在计算机中启动项分三种

  1. 一般启动项内容项在计算机\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

用户设置的启动项,删除不影响系统运行,但是一般查看的时候重点查看这里,因为这里是用户设置的

image-20211020190743849

  1. 另一个是系统设置的启动项,删除需谨慎,一般是第三方软件的驱动程序。

image-20211020191959174

  1. 第三个启动项是很重要的,不能随便删除,都则会影响正常操作系统的正常运行。计算机\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run

image-20211020191758379

入侵排查思路:

  1. 弱口令修改
  2. 第一时间禁掉发现的可以账号和新增账号,使用控制面版中的用户账户工具

image-20211022145322968

也可以看D盾_web来检测是否存在克隆账号或者隐藏账号

image-20211022151226390

  1. 查看各个用户的登录时间和用户名是否异常

Windows系统信息排查

  1. 计划任务

控制面板的管理工具中存在很多工具,其中就有任务计划程序

image-20211020192626718

双击查看该程序会发现

这里列有全部的计划任务,正在运行的和准备就绪的任务都可以查看。

image-20211022151520297

计划任务排查一般是查看操作,操作中显示这个任务中哪个程序在执行,查看有无危险命令和未知的可疑软件。还有就是需要注意那些触发器是当用户登录时的任务。不熟悉的就给它禁掉。

  1. 异常端口和进程的排查

在Windows系统中查看开放端口以及端口的连接情况,防止可疑连接。

image-20211022190454486

901和903端口为不常见的开放端口,所以可以通过查看它的PID来进一步查询相对应的进程。

image-20211022190712619

对应的VMware服务。

查看进程列表的方法还有msinfo32

image-20211022190901491

也可以通过D盾的web查杀工具,在工具中进行进程查看,重点关注一下没有签名信息的进程。

发现隐藏后门

  1. 文件MD5校验

在网上下载文件后,有些网站会在压缩包的注释处或者是下载页的明显位置放一段MD5校验值。为了防止用户需要时下载到被黑客恶意修改后的文件。

在Windows系统中进行文件的md5值的计算用到certutil——一个命令行程序

早期版本的 certutil 可能无法提供本文档中所述的所有选项。 可以通过运行 或 来查看特定版本的 certutil 提供 certutil -? 的所有选项 certutil <parameter> -?

这是微软官方的帮助文档——https://docs.microsoft.com/zh-cn/windows-server/administration/windows-commands/certutil

一般使用hashfile参数来生成并显示文件上的加密函数

image-20211022202912541

  1. 文件对比

使用DVWA文件夹来做例子,手动给一个文件中加上一句话木马以及添加一个木马文件,测试一下

image-20211022204728535

双击异常文件,软件也可以得出具体是哪个片段的代码不同。

image-20211022204854673

Windows日志分析

系统日志

默认存放路径

NT/Win2000/XP/Server 2003
C:\WINDOWS\system32\config\SysEvent.Evt
Vista/Win7/Win8//Win10/Server 2008/Server 2012
C:\WINDOWS\system32\winevt\Logs\System.evtx

win10系统日志文件默认存放在%SystemRoot%\System32\Winevt\Logs\下,该文件夹下全是Windows的各种事件日志文件。记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据。

看日志之前要先了解一下Windows系统日志信息,Windows的日志文件本质上是数据库,其中包含的元素:日期时间,用户名,计算机名,事件ID,来源,类型,描述,数据等信息都相当于相应的字段。

Windows事件日志有五种事件类型,所有的事件必须且只能拥有其中一种事件类型。

  1. 信息(Information)

信息事件指应用程序或服务的成功操作的事件,比如:登录成功,搜索服务等成功操作都会保留在信息事件的日志文件中。

image-20211023101425828

  1. 警告(Warning)

警告事件指不是直接的、主要的,但是会导致将来问题发生的问题。例如,当磁盘空间不足或未找到打印机时,都会记录一个“警告”事件。

image-20211023102924106

这里是数据库的格式问题报出一个警告事件。

  1. 错误(Error)

错误事件指用户应该知道的重要的问题。错误事件通常指功能和数据的丢失。例如, 如果一个服务不能作为系统引导被加载,那么它会产生一个错误事件。

image-20211023103144393

  1. 成功审核(Success audit)

成功的审核安全访问尝试,主要是指安全性日志,这里记录着用户登录/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登录等事件,例如所有的成功登录系统都会被记录为“成功审核”事件

  1. 失败审核

失败的审核安全登录尝试,例如用户试图访问网络驱动器失败,则该尝试会被作为失败审核事件记录下来。

事件ID

对于Windows事件日志分析,不同的事件ID代表着不同的意义,摘录一些常见的安全事件的说明,一个登录的行为都会给挂上事件ID,比如:登录成功,登录失败也有自己对应的事件ID

image-20211023104816425

其中还有一些其它的ID,比如4672(使用超级管理员进行登录)也叫做特权登录,通过win10自带的事件查看器可以很方便的看出任务类别为Special Logon的特权登录操作

image-20211023105822357

系统自带的事件查看器才是最好用的工具。自带筛选功能,可以根据事件ID或者事件类型,事件发生的时间范围,等字段来进行筛选并整理日志,返回更加方便查看的结果。

image-20211023194519276

这个是为了数据效果,在虚拟机中模拟多次登录失败而生成的日志。可以看到通过使用这里的筛选功能,根据时间,时间的级别,日志类型,事件来源,事件ID,任务类别,关键字,以及用户来筛选找出相应日志记录。

成功登录的事件都会标记一个登录类型,不同登录类型代表不同的方式

image-20211024105000252

浏览器信息记录

浏览器中的信息也是在应急响应中对黑客的攻击手段进行复现查看的一种方法,一般在浏览器中会保存浏览记录,下载记录,还有cookie信息等内容。

浏览记录:可以查看黑客在拿到此台计算机后使用浏览器进行了哪些操作,很有可能使用浏览器去下载事先准备好的放在互联网上的后门木马或者勒索病毒等危险内容。以Google浏览器为例,在需要查看历史记录的时候使用chrome://history/

如果浏览器的历史记录已经被删除掉了,怎么查看,这里有几种常用的方法。

  1. 如果电脑的谷歌浏览器是登录了账号的状态,在谷歌还未同步删除之前,可以在手机上进行查看浏览记录。
  2. 还可以通过Google活动可以看到这里是查看到了我之前4月25日的访问记录。我认为这是比较方便的。

image-20211024111003664

  1. 恢复已删除 Chrome 来自Google外卖的备份文件的历史记录,可以查看近30天的历史记录活动。(需要自行备份,不合适应急响应中使用)

image-20211024111430044

  1. 使用数据恢复软件来恢复历史记录

Chrome 生成文件以存储Windows或macOS上的浏览历史记录。 文件名是“ History”,看起来像

Chrome 历史

删除或清除历史记录后,文件将被删除, Chrome 之后,当您开始查看其他页面时,将生成一个新页面。

使用Data Recovery Do安装在存储历史文件的磁盘以外的磁盘(D盘)

image-20211024112110682

下载记录也是最重要的信息来源,可以看到黑客是否在互联网上下载了可疑文件或者程序。一般查杀使用D盾即够用。也可以使用在线恶意程序或文档检测工具。

总结

内容不多,但是耗费了一周时间来进行总结,意在为应急响应的学习开个好头,以便为后续的操作和学习打下一个坚实的基础吧。应急响应技术是针对黑客的攻击快速的做出解决方案去解决问题。这个过程是非常有趣的。

学习参考内容

https://brownfly.gitbook.io/emergency-response/

https://github.com/Bypass007/Emergency-Response-Notes

https://blog.csdn.net/uz31415926/article/details/89444303