網絡安全應急響應—windows系統

一、系統排查

1、系統信息

//可以顯示本地計算機的硬件資源、組件、軟件環境、正在運行的任務、服務、系統驅動程序、加載模塊、啟動程序等。

C:\Users\test>msinfo32 //Microsoft系統信息工具：Msinfo32.exe

C:\Users\test>systeminfo //可查看主機名、操作系統等版本信息。

2、?用戶信息

攻擊者入侵服務器后，可能會通過創建賬號對服務器進行遠程控制。常見的創建賬號方法有：創建新賬號、激活默認賬號、建立隱藏賬號（用戶名后跟$的為隱藏賬號）。

排查惡意賬號的方法如下，如果存在惡意賬號刪除或者禁用：

C:\Users\test>net user //查看所有用戶，此方法無法查看隱藏用戶

C:\Users\test>net user username //查看指定用戶信息

C:\Users\test>wmic useraccount get name,SID //查看用戶信息

C:\Users\test>lusrmgr.msc

3、啟動項

啟動項是系統開機時在前臺或者后臺運行的程序，攻擊者有可能通過啟動項使用病毒后門等實現持久化控制。

排查啟動項的方法如下：

C:\Users\test>msconfig //命令行打開啟動項

查看是否存在命名異常的啟動項目，是則取消勾選命名異常的啟動項目，并到命令中顯示的路徑刪除文件。 或：

C:\Users\test>regedit打開注冊表，查看開機啟動項是否正常。

特別注意如下三個注冊表項:

HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

檢查右側是否有異常的啟動項。如果存在，則刪除，并使用殺毒工具進行查殺清除。

4、計劃任務

查看計劃任務屬性，查看是否存在木馬文件等。

C:\Users\test>taskschd.msc //獲取計劃任務信息

C:\Users\test>schtasks //獲取計劃任務信息（用戶需是administrators組成員）

或直接打開計算機管理-->系統工具-->計劃任務程序

5、服務自啟動

//查看服務類型和啟動狀態，查看是否存在異常服務

C:\Users\test>services.msc

二、進程、端口排查

1、進程排查

主機在感染惡意程序時，都會啟動相應進程來完成惡意操作。

排查方法如下：

C:\Users\test>msinfo32 軟件環境-->正在運行任務

C:\Users\test>tasklist //可顯示所有進程

C:\Users\test>tasklist /svc //可顯示進程和服務的對應關系

C:\Users\test>tasklist /m //可顯示進程加載DLL情況

C:\Users\test>tasklist /m xx.dll //可查看調用xx.dll模塊的進程

運行wmic，命令行輸入process //查看進程對應的程序位置

判斷進程是否可疑，主要關注以下幾點：

1、沒有簽名驗證信息的進程

2、沒有描述信息的進程

3、進程的屬主

4、進程的路徑是否合法

5、CPU或內存資源占用長時間過高的進程

或通過第三方工具進行排查：D盾_web查殺工具，微軟官方提供的 Process Explorer等工具進行排查。

2、端口排查

主要對端口的連接情況進行檢查，排查是否存在遠程連接、可疑連接。檢查方法如下：

//查看目前的網絡連接，定位可疑的ESTABLISHED

C:\Users\test>netstat -ano 或。 C:\Users\test>netstat -anb（需要管理員權限）

//根據netstat定位出的pid，通過tasklist命令進行進程定位

C:\Users\test>tasklist | findstr pid

//查看端口對應的PID

C:\Users\test>netstat -ano ｜ findstr port

三、文件痕跡排查

主要對惡意軟件常用的敏感路徑進行排查、針對應急響應事件發生前后的文件進行排查、對帶有特征的惡意軟件進行排查等。檢查方法如下：

1、敏感目錄文件

1、各個盤下的temp/tmp目錄，查看臨時文件下是夠存在異常文件；

2、回收站、瀏覽器下載目錄、瀏覽器歷史記錄，cookie信息等，查看是否存在可以信息；

3、運行-->recent

查看Recent文件。Recent文件存儲了最近運行文件的快捷方式；

4、運行-->%SystemRoot%\Prefetch\

查看預讀取文件夾。存放系統已訪問過的文件的預讀取信息;

5、運行-->%SystemRoot%\appcompat\Programs\

查看Amcache.hve文件，該文件可查詢應用程序保存路徑、上次執行時間、SHA1值。

2、基于時間點查找

在應急響應事件發生后，可通過事件發生時間來排查該時間點前后的文件更改情況。

1、forfiles命令查找2022/3/16后創建的exe文件

C:\Users\test>forfiles /m *.exe /d +2022/3/16 /s /p c:\ /c "cmd /c echo @path @fdate @ftime" 2>null

2、對服務器文件以時間排序，查看可疑文件；

3、修改時間在創建時間之前的為可疑文件，重點排查類似有邏輯問題的文件；

4、利用計算機自帶文件搜索功能，指定修改時間進行搜索；

5、使用D盾、webshellkill等工具。

四、日志分析

在Windows系統中，日志文件包括：系統日志、安全性日志及應用程序日志，其位置如下。也可通過運行-->eventvwr.msc打開事件查看器。

在Windows 2000專業版/Windows XP/Windows Server 2003系統中:

系統日志的位置為:

C:\WINDOWS\System32\config\SysEvent.evt

安全性日志的位置為:

C:\WINDOWS\System32\config\SecEvent.evt

應用程序日志的位置為:

C:\WINNT\System32\config\AppEvent.evt

在Windows Vista/Windows7/Windows8/Windows10/Windows Server2008及以上版本系統中:

系統日志的位置為:

%SystemRoot%\System32\Winevt\Logs\System.evtx

安全性日志的位置為:

%SystemRoot%\System32\Winevt\Logs\Security.evtx

應用程序日志的位置為:

%SystemRoot%\System32\Winevt\Logs\Application.evtx

1、系統日志

系統日志主要是指Windows系統中的各個組件在運行中產生的各種事件。這些事件一般可以分為：系統中各種驅動程序在運行中出現的重大問題、操作系統的多種組件在運行中出現的重大問題及應用軟件在運行中出現的重大問題等，這些重大問題主要包括重要數據的丟失、錯誤，以及系統產生的崩潰行為等。

2、安全性日志

安全性日志與系統日志不同，安全性日志主要記錄了各種與安全相關的事件。構成該日志的內容主要包括：各種登錄與退出系統的成功或不成功的信息;對系統中各種重要資源進行的各種操作，如對系統文件進行的創建、刪除、更改等操作.

3、應用程序日志

應用程序日志主要記錄各種應用程序所產生的各類事件。例如，系統中SQL Server數據庫程序在受到暴力破解攻擊時，日志中會有相關記錄，該記錄中包含與對應事件相關的詳細信息.

五、內存分析

對服務器進行內存的提取，分析其中的隱藏進程。

內存的獲取方法：

基于用戶模式程序的內存獲取;

基于內核模式程序的內存獲取;

基于系統崩潰轉儲的內存獲取;

基于操作系統注入的內存獲取;

基于系統休眠文件的內存獲取;

基于虛擬化快照的內存獲取;

基于系統冷啟動的內存獲取;

基于硬件的內存獲取。

六、流量分析

查看相關的地址連接情況： PCHunter、Process Monitor等工具或netstat等)命令。

查看內部流量：使用Wireshark/colasoft等網絡封包分析軟件。

大家更新到win10 v2004版本了嗎？聽說此次微軟采取了分批次更新的推送方式，所以沒有收到推送消息的小伙伴就不要著急。

此次win10 v2004版本測試了半年之久，聽說能夠大幅度降低CPU占用率，提升機械硬盤的運行速度，所以這才飽受用戶追捧。

不過聽一些升級后的用戶來說，此次升級更新又不出意外地翻車了！

頻繁藍屏，打印機程序被破壞，與雷電擴展塢和音頻驅動起沖突，其余還有10多個bug沒有細數出來，大失所望，現在微軟也已經停止部分推送，正在全力搶救win10更新五月版。

Win10系統自推出到現在，已經過了好幾個年頭，雖說穩定性不比win7好，但每次一更新就出現十多個錯誤的話，確實是極不穩定，難道微軟不能出一個稍微穩定那么一丟丟的win10系統嗎？

其實韓博士也不知道，也許，微軟也在不斷地努力吧。

可能很多人也是迫于無奈，只能投奔到win7系統了。雖說win7已經停更，安全性能有待考證。但是每次都要面臨未知的win10bug，那還不如直接換成一個維持10年之久的win7呢。

不過現在應該怎么換回win7系統呢？畢竟已經停更了。別著急，還是有方法的，一起來看看。

下載鏡像文件安裝

相信大家都有聽說過MSDN網站吧，它也是微軟承認的一個官方網站，里面放置了操作系統文件、開發人員工具等資源文件，我們只需要進入該網站找到操作系統下的"windows 7"進入。

在右側就可以看到有win7系統的專業版、家庭版等鏡像文件，直接點擊"詳細信息"復制鏈接到迅雷完成下載。

鏡像文件下載完成后開始制作啟動U盤，隨后進入PE界面完成安裝。

重裝系統

相信大家對于重裝系統這個詞不會陌生，俗話說得好，重啟能解決90%的電腦問題，重裝能解決99%的電腦問題。所以當你遇到系統故障了，或者升級win10頻繁遇到藍屏問題，直接進行重裝就ok。

重裝方式也是很多，如果是電腦小白，直接跟著教程操作吧。

1. 關閉所有殺毒軟件，開始選擇"重裝系統"進入操作。

2. 這時候開始在界面選擇需要重裝的win7文件，可以根據自己意愿操作。

3. 當然重裝也是會格式化系統盤，所以最好提前備份下文件，等電腦自動下載完資源文件后就需要重啟電腦。

4. 重啟時電腦會彈出windows啟動管理器界面，一般都是選擇如圖所示的模式回車進入。

5. 電腦此時會自動進行安裝所選擇的win7系統，當然大家玩會游戲就可以結束安裝啦。

最終電腦會自動進入win7操作系統桌面，大家可以愉快地玩轉win7了。

當然win10也在不斷地完善中，也許也會變得跟win7一樣容易操作。各位小伙伴們究竟是用什么操作系統？說不定還有人在用XP系統呢。