应急响应的重要性
近年来信息安全事件频发,信息安全的技能、人才需求大增。现在,不管是普通的企业,还是专业的安全厂商,都不可避免的需要掌握和运用好信息安全的知识、技能,以便在需要的时候,能够御敌千里。所谓养兵千日,用兵一时,拥有一支完善的团队或完整的流程,可以保障企业在出现重大安全事件时,能有条不紊的进行处置,及时把破坏范围缩小。
且在即将开始的护网中,应急响应也是其中非常重要的一环,学好应急响应能让你在面试中如虎添翼。
开机启动项
- 1、利用操作系统中的启动菜单C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
- 2、利用系统配置msconfig
- 3、利用注册表regedit HKEY CURRENT USERS/software/Microsoft/Windows/CurrentVersion/Run
temp文件分析
temp(临时文件夹),位于C:\Documents and Settings\AdministratorLocal Settings\内。很多临时文件放在这里,用来收藏夹,浏览网页的临时文件,编辑文件等。
- 查看temp文件夹发现PE文件 (exe、di1sys),或者是否具有特别大的tmp文件
- 将文件上传到 https://wwwvirustotal.com/ 进行查看,是否为恶意代码
文章分享
浏览器信息分析
- 浏览器浏览痕迹查看
- 浏览器Cookie信息查看
- 浏览器文件下载记录查看
文件时间属性分析
如果修改时间要早于创建时间那么这个文件存在很大可疑。使用中国菜刀等工具修改的 修改时间,通过文件属性可以查看到创建时间、修改时间、访问时间。
最近打开文件分析
Windows系统中默认记录系统中最近打开使用的文件信息。可以在目录C:\Documents and Settings\Administrator Recent 下查看,也可以使用 win+R打开运行%userprofile%\recent查看。
进程分析
- netstat-ano | find“ESTABLISHED”查看网络建立连接状态
- tasklist /svc | find “PID” 查看具体PID进程对应的程序
- taskkill /PID pid值 /T 关闭进程
计划任务
- schtasks.exe
- 任务计划程序
隐藏账户的发现添加与删除
- 最为简单的隐藏账户建立: net user test$ test /add && net localgroup administrator test$ /add
- 计算机管理->本地用户和组->用户
- 注册表 HKEY_LOCAL_MACHINE/HARDWARE/SAM/SAM/DOMAINS/ACCOUNT/USERS/NAMES
-
这样添加的用户无法在该命令中被发现,可以在计算机管理和注册表中看到
若在这其中也被隐藏,只能看注册表了。
恶意进程发现及关闭
使用工具psexplore 找到恶意程序之后在进程列表中删除。
psexplore可以联动VirusTotal进行恶意代码分析并进行查杀。
下载链接文章来源:https://www.toymoban.com/news/detail-787111.html
补丁信息
- control->程序->已安装更新
- systeminfo
- win+i更新
webshell查杀
D盾、河马webshell文章来源地址https://www.toymoban.com/news/detail-787111.html
到了这里,关于【Windows应急响应】HW蓝队必备——开机启动项、临时文件、进程排查、计划任务排查、注册表排查、恶意进程查杀、隐藏账户、webshell查杀等的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
