Windows应急响应知识点

• Windows应急响应知识点
  • 查看系统正常用户、隐藏用户、克隆用户
  • 查看异常网络链接
  • 敏感日志查看分析
  • 查看开机启动项
  • 文件分析
  • 进程分析

Windows应急响应知识点

查看系统正常用户、隐藏用户、克隆用户

1. 查看当前系统所有正常用户

   • 命令：net user
   • 缺点：无法查看隐藏账户和克隆账户

2. 查看系统所有管理员账户，包括隐藏的管理员账户

   • 命令：net localgroup administraors
   • 缺点：无法查看普通用户

3. 查看系统正常账户和隐藏账户

   • 命令：wmic useraccount get name,sid
   • 缺点：无法查看克隆用户

4. 注册表查看克隆账户

   • [HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users]此项下保存了Names项以及所有用户类型的权限等信息
   • [HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names]此项下保存了所有系统用户名称及用户类型信息,cmd下可以使用命令查看:reg query HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names
   • 

5. 查看登录用户的会话信息

   • 命令：query user 显示所有登录用户的会话信息

   

6. 删除用户（包括隐藏用户）

   • 命令： net user ceshi$ /del
   • Windows日志-安全会添加如下日志：
     • 事件ID 4726 ：已删除用户账户

查看异常网络链接

1. 运行-netstat -ano 查看监听ip 监听状态 端口号以及已建立的连接
2. 运行-netstat -ano | find "ESTABLISHED"筛选出所有已建立的连接、端口号和IP
3. 运行-tasklist /svc | find "2368" 查看pid为2368的进程对应的进程
4. 运行-taskkill /PID 2368 /T 关闭PID是2368对应的进程
5. 常见端口号说明：
   • 21端口：FTP默认端口/tcp
   • 22端口：SSH默认端口/tcp
   • 23端口：Telnet默认端口/tcp
   • 80端口：http默认端口/tcp（木马Executor开放此端口）
   • 443端口：https默认端口/tcp /udp
   • 445端口:局域网访问各种共享文件夹或共享打印机； 黑客能通过该端口偷偷共享硬盘，甚至会在悄无声息中格式化硬盘!
   • 1080端口：socks代理默认端口
   • 1433端口：SqlServer数据库默认端口
   • 1521端口：orcal数据库默认端口
   • 3389端口：Windows系统默认的远程桌面端口

敏感日志查看分析

1. 查看手动常规方式清除日志的记录
   • 方法：查看是否有ID是1102的清除日志记录
   • 查看路径：事件查看器-Windows日志-安全-筛选当前日志-ID：1102 并筛选
2. 查看使用MSF工具清除日志的记录
   • 方法：查看是否有ID是102类型的清除日志记录
   • 查看路径：事件查看器-Windows日志-安全-筛选当前日志-ID：102 并筛选
3. 查看用户登录日志ID:7045
   • 方法：查看是否有ID是7045的日志记录
   • 路径：时间查看器-Windows日志-系统-筛选当前日志-ID：7045 并筛选

查看开机启动项

1. 任务管理器-启动选项卡

   

2. 用户账户开机启动文件夹：

   • win10路径：C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
   • 注意：AppData默认是系统隐藏文件夹
   • 命令：运行-shell:startup

3. 注册表查找

   • 命令：运行-regedit
   • 路径1：[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run]
   • 路径2：[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • 路径3：[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run]
   • 路径4：[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run]
   • 路径5：[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Setup\PnpResources\Registry\HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • 快速查找方式：查找-搜索内容Run，勾选【项】、勾选【全字匹配】

4. 本地组策略中查看开机启动项

   • 命令：运行-gpedit.msc 打开本地组策略编辑器
   • 路径1：[计算机配置-管理模板-系统-登录-用户登录时运行这些程序]中查看是否有可疑应用
   • 路径2：[用户配置-管理模板-系统-登录-用户登录时运行这些程序]中查找是否有可疑

5. 使用微软工具Autoruns查看所有开机运行项：
   

   • Autoruns工具下载地址：[https://learn.microsoft.com/zh-cn/sysinternals/downloads/]

文件分析

1. 文件分析-temp临时文件夹中异常文件查看

   • 命令：运行-%temp%
   • temp临时文件夹权限较大，可读、可写、可执行
   • 查看temp文件夹 寻找PE文件（exe dll sys）,或者特别大的temp文件
   • 将可疑文件上传至[https://www.virustotal.com/gui/home/upload]分析是否存在恶意代码/病毒

2. 文件分析-浏览器信息分析

   • 浏览器浏览记录查看
   • 浏览器下载记录查看
   • 浏览器cookie信息查看
   • Windows小工具地址下载[https://launcher.nirsoft.net/downloads/index.html]-部分工具报病毒

3. 文件分析- 文件时间属性分析

   • 文件时间属性具有：创建时间、访问时间、修改时间
   • 通过菜刀等工具可以修改的‘修改时间’，文件属性可以查看到创建时间、修改时间、访问时间，如果修改时间早于创建时间，那么这个文件就存在很大的问题，需要进一步分析

4. 文件分析-最近打开的文件分析

   • Windows系统默认会记录最近打开使用的文件信息
   • 命令：运行-recent 或者 运行-%UserProfile%\Recent (大小写均可)
   • 然后根据Windows筛选条件查看具体时间范围内的文件

进程分析

1. 进程分析-可疑进程发现与关闭
   • 使用微软工具process explorer 查看异常进程（VirusTotal显示位红色的进程）
     
   • process explorer下载地址：[https://learn.microsoft.com/zh-cn/sysinternals/downloads/]