主要依赖微软sysinternals工具库
文件敏感的文件路径: 更多可以使用 cmd->set 进行查看 %WINDIR% %WINDIR%\sytem32 %TEMP% 临时文件 %LOCALAPPDATA% 应用程序本地数据 %APPDATA% 一个对Application Data路径的简记形式 %UserProfile%\Recent 最近打开的文件
-
查看文件属性 attrib 文件
-
查看文件权限 cacls 文件
-
计算文件md5 certutil -hashfile image.png md5 certutil -hashfile /? # 查看支持的更多hash 该命令支持的 哈希算法: MD2 MD4 MD5 SHA1 SHA256 SHA384 SHA512
-
文件内容检索 find /N “要找的内容” 路径 # 查找字符串 在指定的文件中
-
图形界面 选中文件->鼠标右键->属性 常规选项卡 查看文件的属性 和创建时间 详细信息选项卡 查看文件所有者 安全选项卡 查看文件的所有者
任务管理器 默认不显示进程的绝对路径,选中进程-> 右键属性-> 打开文件所在位置
wmic查看进程的全路径
wmic process | findstr "taskmgr"
wmic process where name="cmd.exe" get executablepath
wmic SERVICE # 查询服务
wmic startup list full #枚举自启动项
- 进程数 可以看出父子进程之间的关系
- 初步筛查 根据进程的描述信息、公司名、签名验证
- VirusTotal 基于VirusTotal进行检测,选中进程行 -> 右键 -> Check VirusTotal
- 基本信息 启动进程的用户名、路径、自启动方式(如果有),网络请求
- 进程属性 选中进程 -> 属性 Image选项卡 基本信息,路径、当前路径、自启动方式、父进程、启动用户、开始时间、VirusTotal结果 Peformance 选项卡 基本的CPU、I/O、内存、句柄等统计信息 Threads选项卡 线程信息 TCP/IP选项卡,网络连接信息 System选项卡, 启动的用户和sid Environment选项卡,环境变量 strings选项卡(镜像和内存两个选项),提取进程的所有字符串,并且可以进一步搜索
- 基本配置 View -> Select Columns 可以设置每个窗口(进程、内存、Dll)显示的列表 View -> update Speed 可以设置信息更新的时间间隔,也可以暂停 当进程刷新的比较快时,是有帮助的 Process 菜单与选中进程鼠标右键显示的菜单一样,主要是 VirusTotal检测 ,在线查找,主要是使用bing搜索引擎,查找进程相关信息 Find菜单 主要是查询进程或者DLL/句柄等,如果知道一个恶意的DLL文件,直接使用这个就能检索到哪些进程引用了,方便进一步定位信息,比如想知道某个handle Name在哪个进程中被使用,可以根据这个进行查找 DLL或者Handle菜单 是相互切换的,可以使用工具栏的按钮进行选择
- DLL检索 DLL与进程检索方式基本相同,只不过需要先选中进程,点击工具栏DLL按钮,才能在界面下发,显示进程所引用的dll列表,也是可以通过描述,公司名,路径,验证前面,VirusTotal进行判断 DLL的属性中可以看到 Strings和Image两个选项卡,更多信息,可以在View->Select Columns进行选择(比如网络发包等信息)
有时间可以翻译process Exploere 的帮助文档 颜色说明信息
Pink – Windows Service hosting processes
Blue – Current user launched processes
Cyan – Windows app store application
Purple – Indicates a “packed” piece of software
Green – Newly launched processes
Red – Terminated process
Dark Gray – Suspended process
进程排查
Procmon进程行为监视器 对进程的行为:读文件、操作注册表、网络行为 最好是知道一个进程的PID,然后通过Filter进行过滤 定向监控,否则将导致显示的数据太多了
网络 netstat查看网络连接包括 进程ID
netstat -ano
需要过滤出建立连接的信息
netstat -ano | findstr "ESTABLISHED"
netstat -ano | findstr "ESTABLI*"
网络连接查看器,默认显示进程名,进程ID, 网络协议(TCP/UDP),连接状态,本地IP,本地端口,远程IP,远程端口,创建时间,发包和收包数量
可按照列表块,进行排序,比如按 创建时间 进行降序或者升序 选中一行,可以点击进程属性,查看进程完整路径,也可以直接打开进程所在文件夹Explore 连接菜单下,有whois查询,当连接中有域名时,可以直接使用这个查询 whois信息 暂停刷新,有时显示的连接比较多,可以点击暂停 按钮,进行刷新,记录信息 复制结果,点击一行,Ctrl+C 复制内容
公网IP检索360威胁情报中心 微步在线威胁中心 深信服威胁情报中心
自启动 计划任务schtasks /query /fo table /v
compmgmt.msc # 任务计划程序
taskschd.msc # 计划任务管理器
自启动项显示
wmic startup list full #枚举自启动项
查看本地用户和组 寻找 隐藏账号
lusrmgr.msc
query user # 查看当前登录的用户信息
logoff 1 # 剔出对应ID
eventvwr.msc 日志管理器 ,日志分析文章 https://mp.weixin.qq.com/s/xGykym7m71TXXkFhU8XrfQ
补丁比对小工具 https://github.com/neargle/win-powerup-exp-index
RDCman 管理多个远程桌面连接
sysmon 系统监控
strings 字符串查找
pcHunter 下载地址 http://www.xuetr.com/
火绒剑 https://www.huorong.cn/person5.html
GB/T 24363-2009 信息安全技术 信息安全应急响应计划规范 GB/T 28827.3-2012 信息技术服务 运行维护 第3部分:应急响应规范 GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南 微软sysinternals工具库 lsof命令介绍 yara基于规则分析程序 开源 apimonitor processhacker 国家网络安全事件应急预案 奇安信 2020年网络安全应急响应分析报告 2021 上海市网络安全事件应急预案 2019 应急响应笔记非常优秀 溯源和反制总结 各种日志分析
