攻击溯源的排查范围

gclome

原文链接：攻击溯源的排查范围

​

前言
在系统被入侵后，需要迅速梳理出黑客的攻击路径，本文总结windows系统攻击溯源过程中必要的排查范围。
排查项目用户查看当前登录用户

1. query user

复制代码

查看系统中所有用户

1. 1. net user
   
2. 2. 开始-运行-lusrmgr.msc
   
3. 3.查看C:\Users目录排查是否新建用户目录，如果存在则排查对应用户的download和desktop目录是否有可疑文件

复制代码

查看是否存在隐藏账号，克隆账号

1. 开始-运行-regedit
   
2. 查看HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users中是否有异常

复制代码

启动项注册表查看启动项

1. \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   
2. 
   
3. \HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

复制代码

命令行查看启动项

1. wmic startup list full

复制代码

组策略中查看启动

1. 运行-gpedit.msc

复制代码

Recent目录

此目录可以看到程序或文件最后被打开和使用的日期时间。

1. C:\Users\Administrator\Recent

复制代码

windows日志

安全日志

计算机-管理-事件查看器-windows日志-安全(或eventvwr.msc)

根据时间排查安全日志里的登录事件，用户创建等事件情况

着重寻找登录事件(ID4624)且登录类型为3和10等远程登录方式

windows安全日志文件：

C:\Windows\System32\winevt\Logs\Security.evtx 查看其大小是否为20M左右，若远远小于20M则有可能被清理过

系统日志

计算机-管理-事件查看器-windows日志-系统

查看恶意进程的运行状态时间等

排查可疑进程

查看可疑网络连接

1. netstat -b -n

复制代码

根据网络连接寻找pid

1. netstat -ano | findstr xxx

复制代码

根据pid寻找进程

1. tasklist | findstr xxx

复制代码

杀死可疑进程

1. taskkill /T /F /PID xxxx
   

复制代码

排查计划任务

1. schtasks /query /fo table /v
   
2. 
   
3. 运行-taskschd.msc

复制代码

排查系统服务

1. 运行-service.msc

复制代码

工具使用PECmd

使用PECmd导出最近活动项目

LastActivityView使用LastActivityView图形化工具查看最近活动项

版权申明：内容来源网络，版权归原创者所有。除非无法确认，都会标明作者及出处，如有侵权烦请告知，我们会立即删除并表示歉意。祝愿每一位读者生活愉快！谢谢!