91九色国产熟女,亚洲成人中文字幕AV,日韩在线你懂的

推薦鏈接：https://www.cnblogs.com/linuxsec/articles/10741532.html

下面是轉(zhuǎn)載的內(nèi)容：

1. Windows 的應急事件分類

Windows 系統(tǒng)的應急事件，按照處理的方式，可分為下面幾種類別：

病毒、木馬、蠕蟲事件

Web 服務器入侵事件或第三方服務入侵事件

系統(tǒng)入侵事件，如利用 Windows 的漏洞攻擊入侵系統(tǒng)、利用弱口令入侵、利用其他服務的漏洞入侵，跟 Web 入侵有所區(qū)別，Web 入侵需要對 Web 日志進行分析，系統(tǒng)入侵只能查看 Windows 的事件日志。

網(wǎng)絡攻擊事件（DDoS、ARP、DNS 劫持等）

2. 通用排查思路

入侵肯定會留下痕跡，另外重點強調(diào)的是不要一上來就各種查查查，問清楚誰在什么時間發(fā)現(xiàn)的主機異常情況，異常的現(xiàn)象是什么，受害用戶做了什么樣的緊急處理。問清楚主機異常情況后，需要動腦考慮為什么會產(chǎn)生某種異常，從現(xiàn)象反推可能的入侵思路，再考慮會在 Windows 主機上可能留下的痕跡，最后才是排除各種可能，確定入侵的過程。

獲取 Windows 的基本信息，如機器名稱、操作系統(tǒng)版本、OS 安裝時間、啟動時間、域名、補丁安裝情況，使用systeminfo命令獲取。運行msinfo32也可以查看計算機的詳細信息。

2.1 直接檢查相關日志

任何操作（人、程序、進程）都會導致產(chǎn)生相關日志

2.1.1 Windows 日志簡介

日志記錄了系統(tǒng)中硬件、軟件和系統(tǒng)問題的信息，同時還監(jiān)視著系統(tǒng)中發(fā)生的事件。當服務器被入侵或者系統(tǒng)（應用）出現(xiàn)問題時，管理員可以根據(jù)日志迅速定位問題的關鍵，再快速處理問題，從而極大地提高工作效率和服務器的安全性。

Widdows 通過自帶事件查看器管理日志，使用命令eventvwr.msc打開，或者 Windows 10 搜索框直接搜索事件查看器，或者使用開始菜單-Windows 管理工具-事件查看器打開。

Windows 日志位置

Windows 2000/Server2003/Windows XP

\%SystemRoot%\System32\Config\*.evt

Windows Vista/7/10/Server2008:

\%SystemRoot%\System32\winevt\Logs\*.evtx

日志審核策略，使用命令auditpol /get /category:*

其他一些可能會用到的事件日志的位置：

C:\Windows\System32\WDI\LogFiles

BootCKCL.etl

ShutdownCKCL.etl

SecondaryLogOnCKCL.etl

WdiContext.etl.<###>

C:\Windows\System32\WDI\\

snapshot.etl

C:\Windows\System32\LogFiles\WMI

Wifi.etl

LwNetLog.etl

C:\Windows\System32\SleepStudy

UserNotPresentSession.etl

abnormal-shutdown-<yyyy>-<mm>--<hh>-<mm>-<ss>.etl</ss></mm></hh></mm></yyyy>

user-not-present-trace-<yyyy>-<mm>--<hh>-<mm>-<ss>.etl</ss></mm></hh></mm></yyyy>

ScreenOnPowerStudyTraceSession-<yyyy>-<mm>--<hh>-<mm>-<ss>.etl</ss></mm></hh></mm></yyyy>

Windows 日志

系統(tǒng)日志

系統(tǒng)日志包含Windows系統(tǒng)組件記錄的事件。例如，系統(tǒng)日志中會記錄在啟動過程中加載驅(qū)動程序或其他系統(tǒng)組件失敗。系統(tǒng)組件所記錄的事件類型由Windows預先確定。

應用程序日志

應用程序日志包含由應用程序或程序記錄的事件。例如，數(shù)據(jù)庫程序可在應用程序日志中記錄文件錯誤。程序開發(fā)人員決定記錄哪些事件。

安全日志

安全日志包含諸如有效和無效的登錄嘗試等事件，以及與資源使用相關的事件，如創(chuàng)建、打開或刪除文件或其他對象。管理員可以指定在安全日志中記錄什么事件。例如，如果已啟用登錄審核，則安全日志將記錄對系統(tǒng)的登錄嘗試。

關于安全日志登錄部分的事件 ID 和登錄類型代碼的含義見下面 2 個表。

常用事件 ID 含義

Event ID(2000/XP/2003)Event ID(Vista/7/8/2008/2012)描述日志名稱

5284624成功登錄Security

5294625失敗登錄Security

6804776成功/失敗的賬戶認證Security

6244720創(chuàng)建用戶Security

6364732添加用戶到啟用安全性的本地組中Security

6324728添加用戶到啟用安全性的全局組中Security

29347030服務創(chuàng)建錯誤System

29447040IPSEC服務服務的啟動類型已從禁用更改為自動啟動System

29497045服務創(chuàng)建System

登錄類型 ID

成功/失敗登錄事件提供的有用信息之一是用戶/進程嘗試登錄（登錄類型），但 Windows 將此信息顯示為數(shù)字，下面是數(shù)字和對應的說明：

登錄類型登錄類型描述

2Interactive用戶登錄到本機

3Network用戶或計算手機從網(wǎng)絡登錄到本機，如果網(wǎng)絡共享，或使用 net use 訪問網(wǎng)絡共享，net view 查看網(wǎng)絡共享

4Batch批處理登錄類型，無需用戶干預

5Service服務控制管理器登錄

7Unlock用戶解鎖主機

8NetworkCleartext用戶從網(wǎng)絡登錄到此計算機，用戶密碼用非哈希的形式傳遞

9NewCredentials進程或線程克隆了其當前令牌，但為出站連接指定了新憑據(jù)

10Remotelnteractive使用終端服務或遠程桌面連接登錄

11Cachedlnteractive用戶使用本地存儲在計算機上的憑據(jù)登錄到計算機（域控制器可能無法驗證憑據(jù)），如主機不能連接域控，以前使用域賬戶登錄過這臺主機，再登錄就會產(chǎn)生這樣日志

12CachedRemotelnteractive與 Remotelnteractive 相同，內(nèi)部用于審計目的

13CachedUnlock登錄嘗試解鎖

賬戶類型

用戶賬戶

計算機賬戶：此帳戶類型表示每個主機。此帳戶類型的名稱以字符“$”結(jié)尾。例如，“DESKTOP-SHCTJ7L $”是計算機帳戶的名稱。

服務賬戶：每個服務帳戶都創(chuàng)建為特定服務的所有者。例如，IUSR是IIS的所有者，而krbtgt是作為密鑰分發(fā)中心一部分的服務的所有者。

應用程序和服務日志

應用程序和服務日志是一種新類別的事件日志。這些日志存儲來自單個應用程序或組件的事件，而非可能影響整個系統(tǒng)的事件。

查看 PowerShell 的日志

Microsoft->Windows->PowerShell->OPtions

2.1.2 遠程登錄事件

攻擊者可能造成的遠程登錄事件

RDP

攻擊者使用 RDP 遠程登錄受害者計算機，源主機和目的主機都會生成相應事件。

重要的事件 ID（安全日志，Security.evtx）

4624：賬戶成功登錄

4648：使用明文憑證嘗試登錄

4778：重新連接到一臺 Windows 主機的會話

4779：斷開到一臺 Windows 主機的會話

遠程連接日志（應用程序和服務日志->Microsoft->Windows->-TerminalServices->RemoteConnectionManager->Operational），重要事件 ID 和含義：

1149：用戶認證成功

21：遠程桌面服務：會話登錄成功

24：遠程桌面服務：會話已斷開連接

25：遠程桌面服務：會話重新連接成功

遠程連接日志關注 RemoteInteractive（10）和CachedRemoteInteractive（12）表明使用了 RDP ，因為這些登錄類型專用于RDP使用。

計劃任務和 AT

關注的事件 ID

4624：賬戶成功登錄

計劃任務事件 Microsoft-Windows-TaskScheduler/Operational.evtx，計劃任務 ID 含義：

100：任務已開始

102：任務完成

106：已注冊任務（關注點）

107：在調(diào)度程序上觸發(fā)任務

110：用戶觸發(fā)的任務

129：創(chuàng)建任務流程（推出）

140：任務已更新

141：任務已刪除

200：運行計劃任務

325：啟動請求排隊

統(tǒng)一后臺進程管理器（UBPM）

服務控制管理器 - 管理 Windows 服務

任務計劃程序 - 管理 Windows 任務

Windows Management Instrumentation - 管理 WMI 供應商

DCOM Server Process Launcher - 管理進程外 COM 應用程序

PSExec

PSExec是系統(tǒng)管理員的遠程命令執(zhí)行工具，包含在“Sysinternals Suite”工具中，但它通常也用于針對性攻擊的橫向移動。

PsExec的典型行為

在具有網(wǎng)絡登錄（類型3）的遠程計算機上將 PsExec 服務執(zhí)行文件（默認值：PSEXESVC.exe）復制到％SystemRoot％。

如果使用-c選項，則通過 $Admin 共享將文件復制到％SystemRoot％執(zhí)行命令。

注冊服務（默認值：PSEXESVC），并啟動服務以在遠程計算機上執(zhí)行該命令。

停止服務（默認值：PSEXESVC），并在執(zhí)行后刪除遠程計算機上的服務。

PSExec選項的重要選項：

-r

更改復制的文件名和遠程計算機的服務名稱

（默認值：％SystemRoot％\ PSEXESVC.exe和PSEXESVC）

-s

由SYSTEM帳戶執(zhí)行。

-C

將程序復制到遠程計算機

被復制到Admin$（％SystemRoot％）

-u

使用特定憑據(jù)登錄到遠程計算機

生成登錄類型2和登錄類型3 的事件

可以從System.evtx中查找事件 ID 7045 發(fā)現(xiàn) PSExec，相關的事件 ID

Security.evtx

4624：帳戶已成功登錄

Ssystem.evtx

7045：系統(tǒng)中安裝了服務

PsExec在執(zhí)行命令時在遠程主機上創(chuàng)建服務，默認服務名稱為PSEXESVC，配合檢測系統(tǒng) 7045 事件可以確定。

如果使用-r參數(shù)更改了默認的服務名稱，通過以下特征可以檢測 PSExec 的執(zhí)行：

PSExec服務執(zhí)行文件（默認值：PSEXESVC.exe）被復制到遠程計算機上的“％SystemRoot％”目錄中

服務名稱與沒有“.exe”擴展名的執(zhí)行名稱相同

服務以“用戶模式”執(zhí)行，而不是“內(nèi)核模式”

“LocalSystem”帳戶用于服務帳戶

實際帳戶用于執(zhí)行服務執(zhí)行文件，而不是“SYSTEM”

2.1.3 GUI 的日志工具介紹

Widnows 自帶事件管理器就是很不錯的日志工具，其他可以了解下Event Log Explorer

可以將目標 IP 的所有日志文件復制出來，然后在其他電腦上使用 Event Log Explorer 進行分析。

其他一些工具：

Microsoft Message Analyzer

ETL Viewer

Log Parser

使用示例：https://mlichtenberg.wordpress.com/2011/02/03/log-parser-rocks-more-than-50-examples/

2.2.4 PowerShell 日志操作

使用Get-WinEvent

Get-WinEvent@{logname='application','system'}-MaxEvents1

一些常見日志操作

# Get-WinEvent幫助命令get-helpGet-WinEvent# 列出所有事件日志Get-WinEvent-ListLog*# powershell管理員權限下獲取安全事件日志Get-WinEvent-FilterHashtable@{LogName='Security'}# 過濾安全事件ID 4624Get-WinEvent-FilterHashtable@{LogName='Security';ID='4624'}# 查詢今天的應用和系統(tǒng)日志，顯示前2條Get-WinEvent@{logname='application','system';starttime=[datetime]::today}-MaxEvents2

# 根據(jù)ID查詢事件Get-WinEvent-LogNameMicrosoft-Windows-PowerShell/Operational|Where-Object{$_.ID-eq"4100"-or$_.ID-eq"4104"}# 查詢指定時間內(nèi)的事件$StartTime=Get-Date-Year2017-Month1-Day1-Hour15-Minute30$EndTime=Get-Date-Year2017-Month2-Day15-Hour20-Minute00Get-WinEvent-FilterHashtable@{LogName='System';StartTime=$StartTime;EndTime=$EndTime}

Get-EventLog 的使用可以參考：https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.management/get-eventlog?view=powershell-5.1

2.2.5 Windows 日志刪除和日志集中化

攻擊者入侵系統(tǒng)后，很可能會刪除日志，比較粗暴的手法是直接刪除所有日志和停止日志服務，對于應急來說刪除掉的日志本身就是就是入侵的明顯特征，根據(jù)文件創(chuàng)建時間也能大概判斷入侵時間。另外有工具可以刪除單條日志，這樣只是分析 Windows 日志時對分析人員來說很難找到攻擊痕跡，單條日志刪除工具https://github.com/360-A-Team/EventCleaner，另外可以參考 https://github.com/3gstudent/Eventlogedit-evtx--Evolution。

對抗刪除的的措施是實施日志集中化，從 Windows 7 開始，Windows 記錄日志為 XML 格式，可以使用

2.2 檢查賬戶

檢查賬戶的幾種方式：

在本地用戶和組里查看，運行l(wèi)usrmgr.msc

使用net user列出當前登錄賬號，使用wmic UserAccount get列出當前系統(tǒng)所有賬戶

檢查注冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList，HKLM\SAM\Domains\Account\（默認是 SYSTEM）權限，需要配置成管理員權限查看。

SID 位于HKU\和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList兩個密鑰中。用戶SID可以在值“Profilelist”下找到Subkeys（在用戶登錄系統(tǒng)時創(chuàng)建）。值“ProfileImagePath”將列出該特定用戶的配置文件的路徑。在操作系統(tǒng)級別，SID可識別無疑問題的帳戶。多用戶系統(tǒng)看起來像這樣

HKU\.DEFAULTHKU\S-1-5-18HKU\S-1-5-19HKU\S-1-5-20HKU\S-1-5-21-1116317227-3122546273-4014252621-1000HKU\S-1-5-21-1116317227-3122546273-4014252621-1000_ClassesHKU\S-1-5-21-1116317227-3122546273-4014252621-1003HKU\S-1-5-21-1116317227-3122546273-4014252621-1003_Classes

前四個密鑰是系統(tǒng)帳戶，從計算機到計算機通常是相同的。HKU\.DEFAULT包含全局用戶信息。HKU\S-1-5-18屬于“LocalSystem帳戶”。HKU\S-1-5-19用于運行本地服務，是“本地服務帳戶”。HKU\S-1-5-20是用于運行網(wǎng)絡服務的“NetworkService帳戶”。其他子鍵是唯一的SID，它們與已登錄系統(tǒng)的各個用戶相關聯(lián)。他們的解釋如下：

“S”將字符串標識為SID。

“1”是SID規(guī)范的版本。

“5”是標識符權限值。

“21-1116317227-3122546273-4014252621”是域或本地計算機標識符，因計算機與計算機不同，因為它對應于唯一的個人用戶帳戶。

“1000”是相對ID（RID）。默認情況下未創(chuàng)建的任何組或用戶的RID均為1000或更高。

“1000_Classes”包含每用戶文件關聯(lián)和類注冊。

“1003”是同一系統(tǒng)上另一個用戶的相對ID（RID）。

“1003_Classes”包含第二個用戶的文件關聯(lián)和類注冊。

2.3 檢查網(wǎng)絡連接

檢查網(wǎng)絡監(jiān)聽和連接的端口和應用程序

netstat-anob

輸出主機上的所有偵聽和活動連接，包括 PID 和連接到每個連接的程序的名稱。這也告訴 Netstat返回連接的 IP 地址，而不是試圖確定它們的主機名。

-a ：顯示所有連接和偵聽端口。

-b ：顯示在創(chuàng)建每個連接或偵聽端口時涉及的可執(zhí)行程序。在某些情況下，已知可執(zhí)行程序承載多個獨立的組件，這些情況下，顯示創(chuàng)建連接或偵聽端口時涉及的組件序列。在此情況下，可執(zhí)行程序的名稱位于底部 [] 中，它調(diào)用的組件位于頂部，直至達到 TCP/IP。注意，此選項可能很耗時，并且在你沒有足夠權限時可能失敗。

-n ：以數(shù)字形式顯示地址和端口號。

-o ：顯示擁有的與每個連接關聯(lián)的進程 ID。

-r ：顯示路由表。

路由

netstat-rn

結(jié)合findstr命令查找特定的端口或程序。

發(fā)現(xiàn)的感覺異常的 IP 地址可以在威脅情報平臺上查詢，如果是已知的惡意 IP，可以比較快速的確認攻擊方式。

防火墻配置

netshfirewallshowall

Windows 10 自帶的網(wǎng)絡連接可以參考：

https://betanews.com/2018/07/31/all-the-websites-windows-10-connects-to-clean-install/

2.4 檢查進程

進程通常結(jié)合網(wǎng)絡查看異常，先檢查異常的網(wǎng)絡連接，再獲取由哪個進程生成的網(wǎng)絡連接

netstat-abno|find"port number"tasklist|findstrPID

使用 wmic 命令獲取進程信息

wmicprocess|find"Proccess Id">proc.csvGet-WmiObject-ClassWin32_ProcessGet-WmiObject-Query"select * from win32_service where name='WinRM'"-ComputerNameServer01,Server02|Format-List-PropertyPSComputerName,Name,ExitCode,Name,ProcessID,StartMode,State,Status

PowerShell 的其他關于進程和網(wǎng)絡的命令

Get-ProcessGet-NetTCPConnectionGet-NetTCPConnection-StateEstablished# 進程跟服務的對應關系tasklist/svc

使用 SysinternalsSuite 的 procexp 可以獲取進程比較詳細的信息，比如真實路徑、加載的 DLL 文件等、CPU 和內(nèi)存使用情況等。

當然也可以使用內(nèi)存管理器。

查看可疑的進程及其子進程。可以通過觀察以下內(nèi)容：

沒有簽名驗證信息的進程

沒有描述信息的進程

進程的屬主

進程的路徑是否合法

CPU或內(nèi)存資源占用長時間過高的進程

可以獲取進程關聯(lián)的文件 MD5 值，然后發(fā)送到威脅情報平臺上輔助檢查。進程關聯(lián)的文件也可以使用在線病毒檢測平臺上直接檢測。

2.4.1 內(nèi)存 dump

有 2 種比較方便的方法：

第一種是使用系統(tǒng)自帶功能，在計算機屬性，系統(tǒng)屬性，高級選項卡中選擇“啟動和故障恢復設置”，選擇完全轉(zhuǎn)儲內(nèi)存，然后點擊確定，系統(tǒng)會提示重啟。

重啟后在配置的文件位置可以找到上次轉(zhuǎn)儲的內(nèi)存文件。

另外一種方法，使用 SysinternalsSuite 工具集的 notmyfault64 工具，在使用管理員權限的命令行模式下（cmd、PowerShell），運行

NotMyFault64.exe /crash

2.4.2 內(nèi)存分析

利用 Volatility 進行內(nèi)存取證，分析入侵攻擊痕跡，包括網(wǎng)絡連接、進程、服務、驅(qū)動模塊、DLL、handles、檢測進程注入、檢測Meterpreter、cmd歷史命令、IE瀏覽器歷史記錄、啟動項、用戶、shimcache、userassist、部分rootkit隱藏文件、cmdliner等。

參考：https://xz.aliyun.com/t/2497

2.5 檢查開機啟動和運行服務

2.5.1 開機啟動

關于開機啟動需要分析的位置：

注冊表中的關于開機啟動的位置

HKLM\Software\Microsoft\Windows\CurrentVersion\Runonce

HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

(ProfilePath)\Start Menu\Programs\Startup

開始菜單，啟動項里（C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup）

任務管理器，啟動選項卡，或者運行 msconfig，查看啟動選項卡

運行gpedit.msc在本地組策略編輯器里查看開機運行腳本，包括計算機配置和用戶配置的。

使用 SysinternalsSuite 工具集的 Autoruns 工具查看開機啟動項目

2.5.2 查看服務狀態(tài)

服務狀態(tài)，自動啟動配置，在 PowerShell 下可以運行：

Get-Service# 運行service命令service

運行services.msc可以打開 Windows 服務工具，常見的 GUI 界面。

2.6 檢查計劃任務

存放計劃任務的文件

C:\Windows\System32\Tasks\

C:\Windows\SysWOW64\Tasks\

C:\Windows\tasks\

*.job（指文件）

使用命令查看計劃任務

schtasks

運行taskschd.msc打開計劃任務面板，或者從計算機管理進入，直接查看計劃任務。

也可以使用 SysinternalsSuite 工具集的 Autoruns 工具查看計劃任務。

2.7 檢查文件

檢查可疑文件的思路，一種是通過可疑進程（CPU 利用率、進程名）關聯(lián)的文件，一種是按照時間現(xiàn)象關聯(lián)的文件，文件大小也可以作為輔助的判斷方法，文件的操作可以使用Get-ChildItem命令查看。需要關注的文件位置：

下載目錄

回收站文件

程序臨時文件

歷史文件記錄

應用程序打開歷史

搜索歷史

快捷方式（LNK）

驅(qū)動

driverquery

進程 DLL 的關聯(lián)查詢

tasklist-M

共享文件

最近的文件（%UserProfile%\Recent）

文件更新

已安裝文件

hklm:\software\Microsoft\Windows\CurrentVersion\Uninstall\

異常現(xiàn)象之前創(chuàng)建的文件

2.8 檢查注冊表

注冊表目錄含義：

HKEY_CLASSES_ROOT（HKCR）：此處存儲的信息可確保在Windows資源管理器中執(zhí)行時打開正確的程序。它還包含有關拖放規(guī)則，快捷方式和用戶界面信息的更多詳細信息。

HKEY_CURRENT_USER（HKCU）：包含當前登錄系統(tǒng)的用戶的配置信息，包括用戶的文件夾，屏幕顏色和控制面板設置。HKEY_USERS中特定于用戶的分支的別名。通用信息通常適用于所有用戶，并且是HKU.DEFAULT。

HKEY_LOCAL_MACHINE（H??KLM）：包含運行操作系統(tǒng)的計算機硬件特定信息。它包括系統(tǒng)上安裝的驅(qū)動器列表以及已安裝硬件和應用程序的通用配置。

HKEY_USERS（HKU）：包含系統(tǒng)上所有用戶配置文件的配置信息，包括應用程序配置和可視設置。

HKEY_CURRENT_CONFIG（HCU）：存儲有關系統(tǒng)當前配置的信息。

一些重要的注冊表鍵

hklm:\Software\Microsoft\Windows\CurrentVersion\policies\systemhklm:\Software\Microsoft\Active Setup\Installed Componentshklm:\Software\Microsoft\Windows\CurrentVersion\App Pathshklm:\software\microsoft\windows nt\CurrentVersion\winlogonhklm:\software\microsoft\security center\svchkcu:\Software\Microsoft\Windows\CurrentVersion\Explorer\TypedPathshkcu:\Software\Microsoft\Windows\CurrentVersion\explorer\RunMruhklm:\Software\Microsoft\Windows\CurrentVersion\explorer\Startmenuhklm:\System\CurrentControlSet\Control\Session Managerhklm:\Software\Microsoft\Windows\CurrentVersion\explorer\ShellFoldershklm:\Software\Microsoft\Windows\CurrentVersion\ShellExtensions\Approvedhklm:\System\CurrentControlSet\Control\Session Manager\AppCertDllshklm:\Software\Classes\exefile\shell\open\commandhklm:\BCD00000000hklm:\system\currentcontrolset\control\lsahklm:\Software \Microsoft\Windows\CurrentVersion\Explorer\BrowserHelper Objectshklm:\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objectshkcu:\Software\Microsoft\Internet Explorer\Extensionshklm:\Software\Microsoft\Internet Explorer\Extensionshklm:\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions

活用注冊表編輯器的搜索功能，根據(jù)進程名稱、服務名稱、文件名稱搜索注冊表。

3. 特定事件痕跡檢查

3.1 挖礦病毒應急

3.1.1 傳播方式

通?？赡艿膫鞑シ绞剑?/p>

通過社工、釣魚方式下載和運行了挖礦程序（郵件、IM 等）

利用計算機系統(tǒng)遠程代碼執(zhí)行漏洞下載、上傳和執(zhí)行挖礦程序

利用計算機 Web 或第三方軟件漏洞獲取計算機權限，然后下載和執(zhí)行挖礦程序

利用弱口令進入系統(tǒng)，下載和執(zhí)行挖礦程序

執(zhí)行 Web 頁面的挖礦 JS 腳本

3.1.2 挖礦程序特點

CPU、GPU、內(nèi)存利用率高；

網(wǎng)絡會連接一些礦工 IP，可以通過威脅情報獲取。

3.1.3 挖礦程序應急目的

找出入侵原因

找到挖礦程序，并刪除

挖礦事件應急可能需要對樣本進行分析，需要二進制的一些分析能力，通過提取樣本后確認樣本分類、行為、危害。

3.2 勒索病毒事件應急

3.2.1 傳播方式

通常可能的傳播方式：

通過社工、釣魚方式下載和運行了勒索程序（郵件、IM 等）

利用計算機系統(tǒng)遠程代碼執(zhí)行漏洞下載、上傳和執(zhí)行勒索病毒

利用計算機 Web 或第三方軟件漏洞獲取計算機權限，然后下載和執(zhí)行勒索病毒

利用弱口令進入計算機系統(tǒng)，下載和執(zhí)行勒索病毒

3.2.2 勒索病毒特點

各種數(shù)據(jù)文件和可執(zhí)行程序生成奇怪的后綴名；

明顯的提示，要交贖金

3.3.3 勒索病毒應急目的

如果是重要數(shù)據(jù)，交付贖金恢復數(shù)據(jù)；

找到入侵的原因，排查同類漏洞，并進行加固（一般是重裝）

確認勒索病毒后要立即拔掉網(wǎng)線，限制傳播范圍。

3.3 應急示例

http://blog.nsfocus.net/emergency-response-case-study/

https://blog.csdn.net/qq_27446553/article/details/81102198

http://vinc.top/2017/05/03/windows%E5%BA%94%E6%80%A5%E5%93%8D%E5%BA%94%EF%BC%8820170503%EF%BC%89/

https://mp.weixin.qq.com/s?src=11&timestamp=1533106387&ver=1033&signature=8P*AjLzeMd*GnPg0SwF4o6I06Sx804FDLw6PUkEch4h8eCCyQEr8A9hbHaIHPrqR-WiIdoJPqMsmSVic4-gs*sd3j613UabGbt6z9mQT6p5fWutdawPYrht-VlixmLLS&new=1

https://mp.weixin.qq.com/s?src=11&timestamp=1533106458&ver=1033&signature=8P*AjLzeMd*GnPg0SwF4o6I06Sx804FDLw6PUkEch4hJcF-gDfZJVqz2bzHZt6fF*EmCrKm*DXOl3CMpdqrFZwBPOuAKr1TQcF7qG2x72YvsE8D1nglxXyYenvA2HLqY&new=1

4. Sysinternals Utilities

工具中有些是命令行工具，有些是有 GUI 界面，作用：

使用Process Explorer顯示詳細的流程和系統(tǒng)信息

使用Process Monitor捕獲低級系統(tǒng)事件，并快速過濾輸出以縮小根本原因

列出，分類和管理在您啟動或登錄計算機時運行的軟件，或運行Microsoft Office或Internet Explorer時運行的軟件

驗證文件，正在運行的程序以及這些程序中加載的模塊的數(shù)字簽名

使用可以識別和清除惡意軟件感染的Autoruns，Process Explorer，Sigcheck和Process Monitor功能

檢查文件，密鑰，服務，共享和其他對象的權限

使用 Sysmon 監(jiān)控整個網(wǎng)絡中與安全相關的事件

當進程滿足指定條件時生成內(nèi)存轉(zhuǎn)儲

遠程執(zhí)行進程，并關閉遠程打開的文件

管理Active Directory對象并跟蹤LDAP API調(diào)用

捕獲有關處理器，內(nèi)存和時鐘的詳細數(shù)據(jù)

對無法啟動的設備，文件使用中的錯誤，無法解釋的通信以及許多其他問題進行故障排除

了解其他地方?jīng)]有詳細記錄的Windows核心概念

下載：https://docs.microsoft.com/en-us/sysinternals/downloads/

4.1 常用工具介紹

4.1.1 autoruns

可以方便的查看自啟動、計劃任務和運行服務，通過關聯(lián)右鍵菜單可以獲取更詳細的內(nèi)容。

4.1.2 procexp

查看進程的工具。

4.1.3 ADExplorer

Active Directory Explorer（AD Explorer）是一種高級Active Directory（AD）查看器和編輯器。您可以使用AD Explorer輕松導航AD數(shù)據(jù)庫，定義收藏位置，查看對象屬性和屬性，而無需打開對話框，編輯權限，查看對象的架構(gòu)，以及執(zhí)行可以保存和重新執(zhí)行的復雜搜索。

AD Explorer還包括保存AD數(shù)據(jù)庫快照以進行脫機查看和比較的功能。加載已保存的快照時，您可以像實時數(shù)據(jù)庫一樣導航和瀏覽它。如果您有兩個AD數(shù)據(jù)庫快照，則可以使用AD Explorer的比較功能查看它們之間更改的對象，屬性和安全權限。

4.1.4 TCPView

查看網(wǎng)絡連接情況

4.1.5 PSExec

像Telnet這樣的實用程序和Symantec的PC Anywhere等遠程控制程序允許您在遠程系統(tǒng)上執(zhí)行程序，但是設置起來很麻煩，并且要求您在要訪問的遠程系統(tǒng)上安裝客戶端軟件。 PsExec是一種輕量級的 telne t替代品，可讓您在其他系統(tǒng)上執(zhí)行進程，完成控制臺應用程序的完全交互，而無需手動安裝客戶端軟件。 PsExec最強大的用途包括在遠程系統(tǒng)上啟動交互式命令提示和IpConfig等遠程啟用工具，否則它們無法顯示有關遠程系統(tǒng)的信息。

使用可以參考：https://www.itprotoday.com/management-mobility/psexec

4.1.6 LogonSessions

列出了當前活動的登錄會話，如果指定-p選項，則列出每個會話中運行的進程。

4.2 Troubleshooting with the Windows Sysinternals Tools 2nd Edition

這是一本書，介紹 Sysinternals 工具集的使用。

5. 其他

關注近期的安全事件趨勢，定期查看 CNCERT 的安全報告，其他一些殺毒軟件公司的論壇也要關注；

結(jié)合近期的應急，對每次應急出現(xiàn)的新狀況進行總結(jié)分析，一段時間內(nèi)的應急需求基本是一致的；

關注幾個威脅情報中心，可以分析域名、IP、文件 MD5，比較方便判斷攻擊方式；

準備好殺毒盤和 Live 盤，可以利用 U 盤做一個專用的應急響應工具包

Webshell 查殺

D盾_Web查殺：http://www.d99net.net/index.asp