Windows应急响应-排查方式

什么是应急响应

网络安全应急响应（Network Security Incident Response，又称CSIRT）是指团队或组织为了在网络安全事件发生时能够及时准确地做出反应和应对而建立的一套制度和流程。其目的是降低网络安全事件所造成的损失并迅速恢复受影响的系统和服务。

常见的应急响应事件分类：
常见的应急响应事件可分为四类，如下

• WEB入侵类：网页挂马、主页篡改、Webshell
• 病毒感染类：病毒、挖矿木马、蠕虫、勒索病毒
• 系统入侵类：漏洞利用、弱口令、远控后门
• 网络攻击类：DDOS 攻击、DNS 劫持、ARP 欺骗

Windows应急响应排查流程

一、账户排查

• 检查弱口令
• 检查可疑账户、新增账户
• 检查隐藏账户、克隆账户

排查方法

（1）查看用户信息

net user
net localgroup（如果隐藏账户没有修改注册表的话可以直接查看到）

对修改了注册表的隐蔽账户排查，操作如下：

 win+r 敲入以下命令regedt32.exe打开注册表编辑器找到——HHKEY_LOACAL_MACHINE——SAM右键打开权限，将用户权限设置为完全控制

删除隐蔽账户

win+r 敲入以下命令
regedit 命令进入注册表
在 HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names 下面找到用户，删除即可

PS：
如果存在隐藏账户，没权限删除，可以直接net user 用户名 密码 把这个隐藏账户密码改了，这样他人也登不上去了

（2）lusrmgr.msc手动查（比较麻烦）

win+r 敲入命令
lusrmgr.msc 打开本地用户和组管理界面

（3）检测克隆账户 —可使用安全工具D盾进行检测，同时可以直接查看端口情况

以管理员身份运行D盾工具
工具下载地址：
D盾下载官网

查看克隆账户

查看端口连接

除了这两模块，其他工具模块也可进行排查使用。

（4）日志排查

各用户登录情况

win+r 敲入命令
eventvwr.msc
打开事件查看器，进行日志分析，通过日志能发现用户登录成功/失败的记录

可通过Windows 日志分析工具进行分析
如：logfusion
下载地址：logfusion官网

二、端口、进程排查

排查方法

（1）查看端口

cmd命令
netstat -ano
对established（正在通信的）的可疑连接进行进程定位：
tasklist | findstr “PID” 通过端口—>PID—>从而定位到进程

（2）查看进程

任务管理器查看详细信息，在列的选择中添加描述可以查看大致信息

win+r 敲入命令
msinfo32 
选择软件环境——正在运行的任务 然后即可可以查看进程信息
使用process explorer（微软官方提供）
或Process Monitor 或火绒 均可

工具地址：Process Monitor

通过进程查看主要关注以下进程：

• 没有签名验证信息的进程
• 没有描述信息的进程
• 进程的属主
• 进程的路径是否合法
• CPU或内存资源占用长时间过高的

查进程对应的程序位置：
1）wmic里面process
2）任务管理器直接右键打开文件位置
tasklist/svc：进程—PID—服务

一般常用的指令

一些比较有用的指令和方法：
查看端口对应的 PID： 
netstat -ano | findstr “port”查看进程对应的 PID：
任务管理器--查看--选择列--PID 
或者 tasklist  | findstr “PID”查看进程对应的程序位置：
任务管理器--选择对应进程--右键打开文件位置，运行输入 wmic，cmd界面 输入process
tasklist /svc 进程—PID —服务查看 Windows 服务所对应的端口：
C:\Windows/system32/drivers/etc/services

三、启动项、计划任务、服务排查

排查方法

（1）启动项排查

在任务管理器当中，可直接查看到

PS：若是早期的Windows服务器，登录服务器，单击【开始】>【所有程序】>【启动】，默认情况下此目录在是一个空目录，确认是否有非业务程序在该目录下。

Win+R输入
msconfig，打开系统配置，查看是否存在命名异常的启动项目，
如果存在则取消勾选命名异常的启动项目，并到命令中显示的路径删除文件。（注意可以隐藏微软自带的服务）

注册表事项注意点：
Win+R输入regedit，打开注册表，查看开机启动项是否正常
特别注意如下三个注册表项：

HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\runHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

RunOnce注册键： 　　
安装程序通常用RunOnce键自动运行程序，它的位置在 HKEY_LOCAL_MACHINE＼…＼RunOnce和 HKEY_CURRENT_USER＼Software＼…＼RunOnce。 
HKEY_LOCAL_MACHINE下面的RunOnce键会在用户登录之后立即运行程序，运行时机在其他Run键指定的程序之前。 HKEY_CURRENT_USER下面的RunOnce键在操作系统处理其他Run键以及“启动”文件夹的内容之后运行。如果是XP，需要检查一下 HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼RunOnceEx。?Run注册键： 　　
Run是自动运行程序最常用的注册键，位置在：HKEY_CURRENT_USER＼Software＼…＼Run，和 HKEY_LOCAL_MACHINE＼SOFTWARE＼…＼Run。 
HKEY_CURRENT_USER下面的Run键紧接HKEY_LOCAL_MACHINE下面的Run键运行，但两者都在处理“启动”文件夹之前。

可疑脚本排查
Win+R输入gpedit.msc查看组策略中是否存在可疑脚本。

（2）计划任务排查

排查服务器上是否存在可疑的计划任务。
方式一、命令查看

cmd命令
schtasks

方式二、
打开控制面板，以小图标的方式查看，点击管理工具，找到任务计划程序，查看计划任务属性，便可以发现木马文件的路径。

（3）服务自启动排查

排查服务器上是否存在自启动服务。

Win+R输入services.msc
排查服务状态和启动类型，检查是否有异常服务。

四、系统信息排查

（1）查看系统版本以及补丁信息。

在cmd窗口当中 运行systeminfo命令 ，查看服务器系统信息，排查系统是否存在可利用的漏洞。也可使用漏扫工具进行检查。

（2）可疑目录以及文件

查看用户目录，每新增一个用户，新增账号会生成一个用户目录

Window 2003服务器 :C:\Documents and SettingsWindow 2008R2服务器:C:\Users\Win+R输入%UserProfile%\Recent，分析最近打开分析可疑文件。
Recent目录下是最近打开的文件。
PS：注意修改时间在创建时间之前的文件。

五、日志分析

（1）系统日志

系统日志分析方法：

• 如果服务器开启了审核策略，则当系统出现故障、安全事故可以查看系统的日志文件，排除故障，追查入侵者的信息等。
• Win+R 输入eventvwr.msc，回车运行，打开“事件查看器”。
• 可以导出应用程序日志、安全日志、系统日志，利用 Log Parser 工具进行分析。
• 如果网内存在日志审计类的安全设备，则可以通过该设备的规则匹配对系统日志进行分析。
  
  工具地址：
  Log Parser工具地址

（2）Web日志

找到中间件的 web 日志，打包到本地方便进行分析。
Windows下使用EmEditor（支持大文本）

六、工具查杀

（1）病毒查杀

常用的杀毒软件即可（火绒剑、360等）

（2）WebShell查杀

使用webshell专杀攻击，选择具体站点路径进行 webshell 查杀，建议同时使用两款或以上的专杀工具进行查杀，可相互补充规则库的不足。

常见的webshell查杀工具：
1、D盾_Web查杀：
使用自行研发不分扩展名的代码分析引擎，能分析更为隐藏的 WebShell 后门行为。兼容性：只提供 Windows 版本。
2、河马在线查杀：
专注 WebShell 查杀研究，拥有海量 WebShell 样本和自主查杀技术，采用传统特征+云端大数据双引擎的查杀技术。查杀速度快、精度高、误报低。兼容性：支持 Windows、Linux，支持在线查杀。
工具地址：WebShell河马专杀工具

文章不妥之处，欢迎批评指正！