干货|攻击溯源的排查范围
作者:Leticia's Blog文章来源:https://www.77169.net/html/273101.html文章来源:LemonSec前言在系统被入侵后,需要迅速梳理出黑客的攻击路径,本文总结windows系统攻击溯源过程中必要的排查范围。排查项目用户查看当前登录用户1query user查看系统中所有用户1231. net user2. 开始-运行-lusrmgr.msc3.查看C:\Users目录排查是否新建用户目录,如果存在则排查对应用户的download和desktop目录是否有可疑文件查看是否存在隐藏账号,克隆账号12开始-运行-regedit查看HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users中是否有异常启动项注册表查看启动项123\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run命令行查看启动项1wmic startup list full组策略中查看启动1运行-gpedit.mscRecent目录此目录可以看到程序或文件最后被打开和使用的日期时间。1C:\Users\Administrator\Recentwindows日志安全日志计算机-管理-事件查看器-windows日志-安全(或eventvwr.msc)根据时间排查安全日志里的登录事件,用户创建等事件情况着重寻找登录事件(ID4624)且登录类型为3和10等远程登录方式windows安全日志文件:C:\Windows\System32\winevt\Logs\Security.evtx 查看其大小是否为20M左右,若远远小于20M则有可能被清理过系统日志计算机-管理-事件查看器-windows日志-系统查看恶意进程的运行状态时间等排查可疑进程查看可疑网络连接1netstat -b -n根据网络连接寻找pid1netstat -ano | findstr xxx根据pid寻找进程1tasklist | findstr xxx杀死可疑进程1taskkill /T /F /PID xxxx排查计划任务123schtasks /query /fo table /v运行-taskschd.msc排查系统服务1运行-service.msc工具使用PECmd使用PECmd导出最近活动项目LastActivityView使用LastActivityView图形化工具查看最近活动项目