Windows入侵排查思维导图
系统账号安全,端口检查,系统信息等内容讲解
树图思维导图提供 Windows入侵排查 在线思维导图免费制作,点击“编辑”按钮,可对 Windows入侵排查 进行在线思维导图编辑,本思维导图属于思维导图模板主题,文件编号是:effd59472a54fe80991692a640314219
思维导图大纲
Windows入侵排查思维导图模板大纲
〇、异常特征
操作异常
卡顿、报错、重启、蓝屏
资源异常
CPU、内存、网络
文件异常
恶意文件、加密文件
设备告警
防火墙,杀软,检测平台IDS,态势感知平台等
一、系统账号安全
弱口令
系统管理员掌握
远程桌面
netstat -an |findstr 3389
可疑账号
net user
net user 用户名
lusrmgr.msc
隐藏、克隆账号
隐藏账号
管理员打开cmd
net user hack$ wuya@hacker179 /add
regedit
HKEY_LOCAL_MACHINE\SAM\SAM
设置权限
在Domains\Account\Users\Names下可以看到隐藏用户
net user hack$ /delete
检查方法
a、打开注册表 ,查看管理员对应键值。
b、使用D盾_web查杀工具,集成了对克隆账号检测的功能。
参考
https://blog.csdn.net/weixin_43598634/article/details/122902727
克隆账号
《windows权限维持》
登录时间
eventvwr.msc
事件查看器
【Windows日志】
https://blog.csdn.net/m0_73923817/article/details/128202250
二、检查异常端口、进程
端口
端口情况
netstat -ano
最后一位是进程号
进程情况
tasklist|findstr "25056"
taskkill /f /t /im httpd.exe
系统端口号(预定义)
C:\Windows\System32\drivers\etc\services
进程
msinfo32
软件环境——正在运行任务
D盾
WebShellKill_V2.0.9.zip
微软提供的高级任务管理器
ProcessExplorer.zip
任务管理器——选择对应进程——右键打开文件位置
三、启动项、计划任务、服务
启动项
【开始】——【所有程序】——【启动】
msconfig
注册表regedit
HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
火绒——安全工具——启动项管理
计划任务
taskschd.msc
compmgmt.msc
schtasks.exe
服务
services.msc
sc create shell start= auto binPath= "C:\phpstudy_pro\WWW\1.exe" obj= Localsystem
sc description "shell" "安全"
组策略
gpedit.msc
【Windows设置】——【脚本(启动/关机)】——双击【启动】
添加的脚本或者PowerShell
四、检查系统相关信息
查找可疑目录及文件
C:\Users
最近打开文件
%userprofile%\AppData\Roaming\Microsoft\Windows\Recent\
回收站、浏览器下载目录、浏览器历史记录
根据内容搜索恶意文件
findstr /m/i/s "eval" *.php
everything、filelocator
最新修改文件
everything
查看系统版本以及补丁信息
systeminfo.exe > systeminfo.txt
工具
pip install xlrd==1.2.0
pip install xlrd --upgrade
python2 windows-exploit-suggester.py -d 2023-03-11-mssb.xls -i systeminfo
五、应急响应工具箱和报告模板
应急响应Checklist
Linux应急响应Checklist.xlsx
应急响应工具箱
Linux应急响应工具箱.zip
Windows应急工具集.zip
应急响应报告
【终稿】XX市第一人民医院应急响应报告-20220813.docx
相关思维导图模板
树图思维导图提供 埃隆·马斯克的商业版图 在线思维导图免费制作,点击“编辑”按钮,可对 埃隆·马斯克的商业版图 进行在线思维导图编辑,本思维导图属于思维导图模板主题,文件编号是:7464362ac911e8a334867bb3fc7a2346
树图思维导图提供 主机安全防御 在线思维导图免费制作,点击“编辑”按钮,可对 主机安全防御 进行在线思维导图编辑,本思维导图属于思维导图模板主题,文件编号是:fa34d4fe2f232e3cb5713f4995d45a66
沪公网安备 31011502019485号
上海工商