常用Windows应急响应整理
# Windows 相关
# 常用程序
小心被病毒整蛊,记住下面命令:
-
regedit:注册表编辑器,用于管理 Windows 系统的注册表,可以查看、编辑和修改注册表中的配置信息。 -
Taskmgr:任务管理器,用于查看和管理系统中运行的进程、服务和性能监控等。 -
msconfig:系统配置实用程序,用于管理 Windows 启动时的启动项、服务和引导选项,可以进行系统启动项的配置和管理。 -
eventvwr.msc:事件查看器,用于查看和分析系统和应用程序生成的事件日志,帮助诊断和解决系统问题。 -
compmgmt.msc:计算机管理控制台,提供了对计算机硬件、设备管理、本地用户和组管理、磁盘管理等的集中管理。 -
gpedit.msc:组策略编辑器,用于管理 Windows 系统中的组策略,可以配置计算机和用户的策略设置。 -
taskschd.msc:任务计划程序,用于创建和管理定时任务,可以设置计划运行的程序、脚本和操作等。 -
lusrmgr.msc:本地用户和组管理器,用于管理本地计算机上的用户账户和用户组,可以创建、修改和删除用户账户和组。
# 特别注意
-
获取本机用户列表
net user -
管理员
net localgroup administrators -
当前会话
net session -
当前运行的服务
net start -
远程连接
net use -
当前用户共享目录
net share -
最近打开文件
1 | %UserProfile%\Recent |
- 查找文件中的字符串
findstr /m /i /s "hello" *.txt
# 常用命令
这些命令可用于网络连接和进程管理,获取系统信息和补丁,以及计算文件的哈希值。你可以根据需要使用它们来进行系统管理、安全检查和文件验证。
# 网络相关命令
netstat -ano:显示网络连接、监听端口和进程的详细信息,包括相关的进程 ID。
# 系统信息命令
systeminfo:显示系统的详细信息,包括操作系统版本、补丁信息、硬件配置等。特别关注补丁信息,以确保系统的安全性。
# 进程管理命令
-
Wmic process:用于查询和管理系统中的进程。-
Wmic process where name="cmd.exe" get processid,executablepath,name:查询并显示名称为 "cmd.exe" 的进程的进程 ID、可执行路径和名称。 -
Wmic process where processid="***" get executablepath,name:查询并显示指定进程 ID 的进程的可执行路径和名称。
-
-
tasklist /m ***.dll:显示指定 DLL 文件相关的进程列表。
# 文件哈希计算命令
certutil -hashfile %样本exe% MD5:计算指定样本文件(例如样本 exe)的 MD5 哈希值。
# 敏感目录
这些敏感目录通常包含重要的系统文件、用户数据和应用程序配置文件。黑客或恶意软件可能会利用这些目录来隐藏恶意文件、执行攻击或获取敏感信息。因此,在网络安全中,对这些目录进行适当的保护和监控非常重要。
-
%WINDIR%:Windows 系统目录,通常为C:\Windows。该目录包含了操作系统的核心文件和系统配置文件。 -
%WINDIR%\system32\:Windows 系统目录下的system32子目录,通常为C:\Windows\system32。该目录包含了许多系统和应用程序的关键文件和库文件。 -
%TEMP%:当前用户的临时文件夹路径。通常为C:\Users\用户名\AppData\Local\Temp。临时文件夹用于存储临时文件和缓存文件。 -
%LOCALAPPDATA%:当前用户的本地应用数据文件夹路径。通常为C:\Users\用户名\AppData\Local。该目录用于存储与用户相关的应用程序数据,如缓存文件、配置文件等。 -
%APPDATA%:当前用户的应用数据文件夹路径。通常为C:\Users\用户名\AppData\Roaming。该目录用于存储应用程序的个人设置、配置文件和其他用户特定的数据。
# 日志
# 事件查看器
eventvwr:事件查看器,用于查看和分析系统和应用程序生成的事件日志。
# 事件日志路径
-
%SystemRoot%System32WinevtLogsSystem.evtx:系统日志文件路径,包含有关系统启动、关闭和其他系统级事件的信息。 -
%SystemRoot%System32WinevtLogsSecurity.evtx:安全日志文件路径,包含有关安全相关事件的信息。
# 系统启动 / 关闭事件
系统启动/关闭 12/13:指示系统启动和关闭的事件计数。
# 事件日志服务启动 / 关闭事件
事件日志服务启动/关闭 6005/6006:指示事件日志服务的启动和关闭事件计数。
# 常见事件 ID 表:
| 事件 ID | 说明 |
|---|---|
| 1102 | 清理审计日志 |
| 4624 | 账号成功登录 |
| 4625 | 账号登录失败 |
| 4768 | Kerberos 身份验证 (TGT 请求) |
| 4769 | Kerberos 服务票证请求 |
| 4776 | NTLM 身份验证 |
| 4672 | 授予特殊权限 |
| 4720 | 创建用户 |
| 4726 | 删除用户 |
| 4728 | 将成员添加到启用安全的全局组中 |
| 4729 | 将成员从安全的全局组中移除 |
| 4732 | 将成员添加到启用安全的本地组中 |
| 4733 | 将成员从启用安全的本地组中移除 |
| 4756 | 将成员添加到启用安全的通用组中 |
| 4757 | 将成员从启用安全的通用组中移除 |
| 4719 | 系统审计策略修改 |
# 常见 LogonType 值
| LogonType 值 | 含义 |
|---|---|
| 2 | 交互式登录 |
| 3 | 网络登录(一般情况下就是永恒之蓝) |
| 4 | 批处理登录 |
| 5 | 服务登录 |
| 7 | 解锁 |
| 8 | 网络远程登录 |
| 9 | 缓存的远程登录 |
| 10 | 远程交互式登录 |
| ... | ... |
# 应急工具
下面是一些应急工具的示例和相关信息:
-
PChunter:Antirootkit 工具,用于检测和清除系统中的 rootkit(恶意软件)。
-
Autoruns:启动项管理工具,用于查看和管理系统启动时自动运行的程序、服务和驱动程序。
-
ProcessExplorer:进程查看工具,提供了比任务管理器更详细和全面的进程信息,包括进程的资源使用、文件关联等。
-
ProcessMonitor:进程监控工具,用于实时监视和记录系统上的进程活动、文件系统活动和注册表活动。
-
TCPView:网络连接查看工具,显示当前系统上的网络连接和相关的进程信息,可用于监视和分析网络连接。
-
Microsoft Network Monitor:网络监控工具,可用于捕获和分析网络数据包,提供详细的网络通信信息和相关的进程。
-
D 盾:Webshell 查杀工具,用于检测和清除 Web 服务器上的恶意 Webshell(恶意脚本)。
-
Everything:快速搜索工具,可以快速索引和搜索系统上的文件和文件夹。
-
BeaconEye:针对 Cobalt Strike(一种渗透测试工具)的特征检测工具。可在 GitHub 上找到该工具,地址为: CCob/BeaconEye。
# 威胁情报 / 样本分析平台:
奇安信威胁情报中心
微步在线社区
Virus total
IBMXFORCE
# Sysmon(System Monitor)(在事件查看器中查看)
Sysmon 可以监控并记录操作系统内核级别的事件,包括进程创建、文件创建、网络连接、注册表操作、服务启动、驱动加载等等。这些事件的详细信息被记录在 Windows 事件日志中,可以通过事件查看器或其他日志分析工具进行检索和分析。
| 事件 ID | 描述 |
|---|---|
| 1 | 进程创建 |
| 3 | 网络连接 |
| 11 | 文件创建 |
| 22 | 记录 DNS 查询 |
# 内存取证
Dumplt / FTK imager / WinPMem
# 分析
Volatility (github: volatilityfoundation/volatility)
volatility -f [内存文件] --profile=[配置文件] < 插件 > # 不同版本有不同的配置文件