前言

打算梳理两篇应急响应的文章，就先从windows开始，希望能帮到需要的朋友。

由于篇幅有限，有些东西不会细讲，有需要的话会单独出文章。本文如有不对欢迎指出。

Windows应急响应

常见的入侵：

web应用入侵：网页挂马、主页篡改、Webshell

应急排查思路：对web中间件日志进行分析,web应用日志分析

操作系统入侵：病毒木马、勒索软件、远控后门

应急排查思路：计划任务，日志分析，进程进行分析，流量分析

入侵排查

查看服务器是否存在可疑账号

检查方法：

1打开 cmd 窗口，输入lusrmgr.msc命令，查看是否有新增/可疑的账号，如有管理员群组的（Administrators）里的新增账户，如有，请立即禁用或删除掉。

2.查看是否存在隐藏账号（用户名以$结尾的为隐藏用户，如：safe6$）。在cmd用net user命令是看不到的。

查看服务器是否存在克隆账号。

检查方法：

a、打开注册表 ，查看管理员对应键值。

b、使用D盾查杀工具，集成了对克隆账号检测的功能

查看服务器是否有弱口令

自查，不用多说

系统日志排查

windows的事件查看器导出用Log Parser Studio工具进行排查分析。

检查异常端口、进程

检查端口连接情况，是否有远程连接、可疑连接。

检查方法：

a、查看目前的网络连接，定位可疑的连接

netstat -ano

b、根据netstat 定位出的pid，再通过tasklist命令进行进程定位

tasklist | findstr “PID”

进程排查

检查方法：

a、开始--运行--输入msinfo32，依次点击“软件环境→正在运行任务”就可以查看到进程的详细信息，比如进程路径、进程ID、文件创建日期、启动时间等。

b、打开D盾_web查杀工具，进程查看，关注没有签名信息的进程。

c、查看可疑的进程及其子进程。可以通过观察以下内容：

没有签名验证信息的进程

没有描述信息的进程

进程的属主

进程的路径是否合法

CPU或内存资源占用长时间过高的进程

计划任务排查

通过命令查看计划任务

schtasks /delete /tn xxxTask

删除计划任务

schtasks /delete /tn xxxTask

删除对应计划任务文件夹(定位定时任务具体执行的程序)

存放计划任务的文件

• C:\Windows\System32\Tasks\

• C:\Windows\SysWOW64\Tasks\

• C:\Windows\tasks\

• *.job（指文件）

排查自启动项

通过借助工具autoruns进行查看，主要检查开机自启动以及一些系统服务（计划任务也可以排查）。

查看可疑目录及文件

a查看 host文件 ：

type %systemroot%\\System32\\drivers\\etc\\hosts

b分析最近打开文件

Recent是系统文件夹，里面存放着你最近使用的文档的快捷方式，查看用户recent相关文件，通过分析最近打开分析可疑文件：

单击【开始】>【运行】，输入%UserProfile%\Recent，分析最近打开分析可疑文件。

c.tmp相关目录下查看有无异常文件 ：Windows产生的临时文件

d.使用d盾对web程序部署路径查杀

e.使用杀毒软件全盘扫描

中间件日志和应用程序日志分析

注：重点分析是否上传webshell，sql注入，命令执行等操作

关注日志文件

tomcat：安装目录下logs文件夹
localhost_access_log.2020-06-01.txt

apache：安装目录下logs文件夹 access.log

nginx：安装目录下logs文件夹host.access.log

Windows Server 2003 iis6日志路径：C:\Windows\System32\LogFiles

Windows Server 2008 R2、2012、2016、2019 iis7以上日志路径：C:\inetpub\logs\LogFiles

具体web应用日志，看具体配置存放的位置。

系统工具替换后门排查

1系统工具替换后门(替换系统的自带程序，如放大镜，粘滞键，旁白)

检查下面的程序是否被替换(md5比对)

粘滞键：C:\Windows\System32\Sethc.exe

屏幕键盘： C:\Windows\System32\osk.exe

放大镜： C:\Windows\System32\Magnify.exe

旁白： C:\Windows\System32\Narrator.exe

显示切换器： C:\Windows\System32\DisplaySwitch.exe

应用切换器： C:\Windows\System32\AtBroker.exe

镜像劫持

比如打开qq会出现打开cmd

利用autoruns工具排查

waitfor.exe后门

通过Process Explorer工具查看是否有waitfor.exe进程，并进一步查看启动参数等。

bitsadmin后门

Bitsadmin从win7之后操作系统就默认包含，可以用来创建上传或者下载任务。Bistadmin可以指定下载成功之后要进行什么命令。后门就是利用的下载成功之后进行命令执行。

排查命令

bitsadmin /list /verbose

WMI后门

使用工具autoruns排查

进程注入排查

利用工具process explorer 、process monitor，较难排查。