Windows主机入*侵分析思路
一、如何找到恶意文件[*]检查网络连接netstat -ano,如有恶意对外连接需要注意哦,特别是挖矿、对外暴力破解。
[*]根据PID找到进程
tasklist | findstr "$PID"或wmic process get name,executablepath,processid | findstr $PID
$PID为可以进程的PID号
[*]找到恶意文件
(1)利用任务管理器和CMD命令行手工找恶意文件
[*]任务管理器 taskmgr
[*]服务 services.msc
(2)进程分析神器PC Hunter (www.xuetr.com ) 没有发布方签名的、名字/路径异常的都可能是可以进程
(3)进程分析神器Process Explore https://technet.microsoft.com/en-us/sysinternals/bb896653/
(4)简单粗暴:360安全卫士***全盘查杀
关于PC Hunter和Process Explore,我会在其他篇章中具体介绍。
[*]找到可以文件后将其上传到***鉴别网站
[*]微步在线:https://x.threatbook.cn/
[*]virustotal:www.virustotal.com
二、日志分析
1.windows自带日志管理器:eventvwr
2.日志分析神器splunk
[*]查找关键时间点是否存在爆破登录记录
[*]是否存在异地异常成功登录记录
[*]确认远程登录账户是否存在弱口令
Event>
Event>
Event> 关于windows登录成功的日志和借助Splunk分析将会在其他篇章中介绍。
三、其他辅助手段
1.查看用户net user
2.检测否是弱密码 https://password.kaspersky.com/
3.性能监视器 perfmon.msc
4.资源监视器 resmon.exe
5.注册表 regedit.exe
6.组策略 gpedit.msc
7.Wndows更新检查
[*]2008:控制面板\所有控制面板项\Windows Update
[*]2012:控制面板\所有控制面板项\Windows 更新\查看更新历史记录"
8.查看计划任务
a) Windows server 2008 运行at
b) Windows server 2012 运行schtasks.exe
9.云服务商一般都会提供态势感知服务,借助IDS/WAF/安全防护日志辅助分析
页:
[1]