文件排查 开机启动有无异常文件 msconfig 1572850369183
敏感的文件路径
%WINDIR%
%WINDIR%\SYSTEM32
%TEMP%
%LOCALAPPDATA%
%APPDATA%
用户目录
新建账号会在这个目录生成一个用户目录,查看是否有新建用户目录
Window 2003 C:\Documents and Settings
Window 2008R2 C:\Users\
回收站 浏览器下载记录/目录 浏览器历史记录 文件排查 临时文件目录 各个盘下的temp(tmp)相关目录下查看有无异常文件:windows产生的临时文件 1572850645111
最近使用项目 Recent是系统文件夹,里面存放着最近使用的文档的快捷方式,查看用户recent相关文件,通过分析最近打开的可疑文件分析 开始-运行-%UserProfile%\Recent C:\Documents and Settings\Administrator\Recent C:\Documents and Settings\Default User\Recent windows10 C:\Users\用户名\AppData\Roaming\Microsoft\Windows\Recent
文件搜索/排序 根据文件夹内文件列表时间进行排序,查找可疑文件,当然也可以搜索指定日期范围的文件 1572851603455
文件时间 创建时间,修改时间,访问时间,***通过菜刀类工具改变的是修改时间,所以,如果修改时间在创建时间之前明显是可疑文件 1572851801722
进程排查 网络连接 netstat netstat [参数] 查看网络连接状况
参数 作用 -b 显示在创建每个连接或监听端口时涉及的可执行程序, 需要管理员权限,这条指令对于查找可以程序非常有帮助 -a 显示所有网络连接,路由表和网络接口信息 -n 以数字形式显示地址和端口号 -o 显示与每个连接相关的所属进程ID -r 显示路由表 -s 显示按协议统计信息,默认地,显示IP 常见状态说明
状态 解释 LISTENING 监听状态 ESTABLISHED 建立连接 CLOSE_WAIT 对方主动关闭连接或者网络异常导致连接中断 1572852646203
显示进程 tasklist TASKLIST [/S system [/U username [/P [password]]]] [/M [module] | /SVC | /V] [/FI filter] [/FO format] [/NH] 显示运行在本地或远程计算机上的所有进程
根据netstat定位出的pid,再通过tasklist命令进行进程定位, tasklist | findstr pid tasklist /svc 显示 进程-PID-服务
wmic wmic process 获取进程的全路径 wmic process | findstr "程序名"
作用 命令示例 查询进程 wmic process(带有cmdline) wmic process list brief 删除进程 wmic process where processid="2345" delete 查询服务 wmic SERVICE(涵盖服务关联所有信息) wmic SERVICE where caption(name)="xxx" call stopservice wmic service where caption(name)="xxx" call delete 启动项枚举 wmic startup list full 计划任务枚举 schtasks /query /fo table /v (执行前先执行chcp 437) msinfo32 开始-运行-msinfo32 1572927245229
任务管理器 任务管理器-查看-选择列-PID 1572855218758 1572927423325
系统信息排查 环境变量 set 我的电脑-属性-高级系统设置-高级-环境变量 1572857650151
计划任务 程序-附件-系统工具-任务计划程序 开始-运行-compmgmt.msc 开始-设置-控制面板-任务计划 开始-运行-cmd-at 1572858105348
启动项 开始-所有程序-启动 此目录默认情况下是个空目录
gpedit.msc 组策略 1572927800889 服务自启动 service.msc 开始-运行-service.msc
账号信息(隐藏账号等) 开始-运行-compmgmt.msc-本地用户和组-用户 用户名以$结尾的为隐藏用户 net user [username] 查看用户信息 lusrmgr.msc 克隆账号 打开注册表,查看管理员对应键值 注册表项:
使用D盾WEB查杀工具,集成了对克隆账号检测的功能 1572923693986 query user query user 查看当前系统的会话 1572858598618
logoff logoff ID 踢出用户
systeminfo systeminfo 查看系统信息,系统版本,补丁信息等 https://github.com/neargle/win-powerup-exp-index
日志排查 windows登陆日志排查 eventvwr.msc - windows日志 - 安全 打开事件查看器 1572921561439
主要分析安全日志,可以借助自带的筛选功能 1572921653790 1572921668669 使用Log Parser分析导出的windows安全日志 1572924021327 可以把日志导出为文本格式,然后使用notepad++打开,使用正则模式去匹配远程登录过的IP地址,在界定事件日期范围的基础 ((?:(?:25[0-5] | 2[0-4]\d | ((1\d{2}) | ([1-9]?\d))).){3}(?:25[0-5] | 2[0-4]\d | ((1\d{2}) | ([19]?\d)))) 正则 中间件日志(web日志access_log) 默认中间件日志路径
nginx Nginx/logs/
apache Apache/logs/
iis iis6:C:\windows\system32\LogFiles(iis管理器-网站-属性-网站-属性-日志记录属性) iis7.5+:%SystemDrive%\inetpub\logs\LogFiles(iis管理器-网站-站点-日志-)
tomcat tomcat/logs/
| 文件 | 说明 |
|---|---|
| localhost_access_log.日期.txt | tomcat的请求的所有地址以及请求的路径、时间,请求协议以及返回码等信息(重要) |
| catalina.日期.log | Cataline引擎的日志文件 |
| commons-daemon.日期.log | 利用服务方式启动tomcat作为守护进程的日志记录 |
| host-manager.日期.log | tomcat的自带的manager项目的日志信息 |
| tomcat7-stderr.日期.log | log4j的错误日志 |
| tomcat7-stdout.日期.log | 程序中的System语句打印的日志(包括系统抛出的异常) |
jboss weblogic {jboss.server.log.dir}/server.log,如:D:\jboss-eap-4.3\jboss-as\server\slim\log\server.log 修改配置文件jboss-log4j.xml()更改默认日志路径,如:jboss-eap-4.3\jboss-as\server<server_name>\conf\jboss-log4j.xml 默认配置情况下,WebLogic会有三种日志,分别是access log, Server log和domain log WebLogic 8.x 和 9及以后的版本目录结构有所不同。 WebLogic 9及以后版本: access log在 $MW_HOME\user_projects\domains<domain_name>\servers<server_name>\logs\access.log server log在 $MW_HOME\user_projects\domains<domain_name>\servers<server_name>\logs<server_name>.log domain log在 $MW_HOME\user_projects\domains<domain_name>\servers<adminserver_name>\logs<domain_name>.log WebLogic 8.x 版本: access log在 $MW_HOME\user_projects\domains<domain_name><server_name>\access.log server log在 $MW_HOME\user_projects\domains<domain_name><server_name><server_name>.log domain log在 $MW_HOME\user_projects\domains<domain_name><domain_name>.log 其中: $MW_HOME是WebLogic的安装目录 <domain_name>是域的实际名称,是在创建域的时候指定的 <server_name>是Server的实际名称,是在创建Server的时候指定的 <adminserver_name>是Admin Server的实际名称,是在创建Admin Server的时候指定的
websphere IBM\WebSphere\AppServer\profiles\AppSrv01\logs\server1\SystemOut.log
知道上传目录,在web log 中查看指定时间范围包括上传文件夹的访问请求 findstr /s /m /I “UploadFiles” *.log 某次博彩事件中的六合彩信息是six.js findstr /s /m /I “six.js” *.aspx 根据shell名关键字去搜索D盘spy相关的文件有哪些 for /r d:\ %i in (spy.aspx) do @echo %i 工具排查 Microsoft NetWork Monitor 一款轻量级网络协议数据分析工具 1572919008029
PC Hunter 颜色 解释 黑色 微软签名的驱动程序 蓝色 非微软签名的驱动程序 红色 驱动检测到的可以对象 隐藏服务,进程,被挂钩函数 1572918951580
ProcessExplorer windows系统和应用程序监视工具 子父进程一目了然 属性中的关键信息: 映象]->[路径/命令行/工作目录/自启动位置/父进程/用户/启动时间] [TCP/IP] [安全]->[权限]
想了解不同颜色意思?[选项]->[配置颜色] 1572918918938 Procexp是常用的进程查看工具 打开procexp,在标题栏右键,可以勾选其它一些选项卡 进程标识颜色不同是用于区分进程状态和进程类型,进程开始启动时为绿色,结束时为红色 可对某个进程进行操作,右键单击即可 1572918827284 1572918866016 Scylla_x86/x64是一款常用的PE工具,用于修复PE的IAT表及内存转储 下载地址:https://down.52pojie.cn/Tools/PEtools/Scylla.v.0.9.8.rar
在附加进程栏喧杂要附加的进程 选择好后,找到页面的dump按钮(中文版为"转储到文件"),即可将内存dump到本地 1572918757893 Registry Workshop 注册表编辑器 利用 Registry Workshop 注册表编辑器的搜索功能,可以找到最后写入时间区间的文件 1572930991429
其它工具 病毒分析 PCHunter:http://www.xuetr.com 火绒剑:https://www.huorong.cn Process Explorer:https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer processhacker:https://processhacker.sourceforge.io/downloads.php autoruns:https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns OTL:https://www.bleepingcomputer.com/download/otl/ SysInspector:http://download.eset.com.cn/download/detail/?product=sysinspector
病毒查杀 卡巴斯基:http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe (推荐理由:绿色版、最新病毒库) 大蜘蛛:http://free.drweb.r u/download+cureit+free(推荐理由:扫描快、一次下载只能用1周,更新病毒库) 火绒安全软件:https://www.huorong.cn 360杀毒:http://sd.360.cn/download_center.html
病毒动态 CVERC-国家计算机病毒应急处理中心:http://www.cverc.org.cn 微步在线威胁情报社区:https://x.threatbook.cn 火绒安全论坛:http://bbs.huorong.cn/forum-59-1.html 爱毒霸社区:http://bbs.duba.net 腾讯电脑管家:http://bbs.guanjia.qq.com/forum-2-1.html
在线病毒扫描网站 http://www.virscan.org //多引擎在线病毒扫描网 v1.02,当前支持 41 款杀毒引擎 https://habo.qq.com //腾讯哈勃分析系统 https://virusscan.jotti.org //Jotti恶意软件扫描系统 http://www.scanvir.com //针对计算机病毒、手机病毒、可疑文件等进行检测分析
webshell查杀 D盾_Web查杀:http://www.d99net.net/index.asp 河马webshell查杀:http://www.shellpub.com 深信服Webshell网站后门检测工具:http://edr.sangfor.com.cn/backdoor_detection.html Safe3:http://www.uusec.com/webshell.zip
致谢:bypass007,张永印
