中文字幕理论片,69视频免费在线观看,亚洲成人app,国产1级毛片,刘涛最大尺度戏视频,欧美亚洲美女视频,2021韩国美女仙女屋vip视频

應(yīng)急響應(yīng)（Incident Response Service，IRS）是當(dāng)企業(yè)系統(tǒng)遭受病毒傳播、網(wǎng)絡(luò)攻擊、黑客入侵等安全事件導(dǎo)致信息業(yè)務(wù)中斷、系統(tǒng)宕機(jī)、網(wǎng)絡(luò)癱瘓，數(shù)據(jù)丟失、企業(yè)聲譽(yù)受損，并對(duì)組織和業(yè)務(wù)運(yùn)行產(chǎn)生直接或間接的負(fù)面影響時(shí)，急需第一時(shí)間進(jìn)行處理，使企業(yè)的網(wǎng)絡(luò)信息系統(tǒng)在最短時(shí)間內(nèi)恢復(fù)正常工作，同時(shí)分析入侵原因、還原入侵過程、評(píng)估業(yè)務(wù)損失、溯源黑客取證并提出解決方案和防范措施，減少企業(yè)因黑客帶來的相關(guān)損失。本文主要討論windows被入侵后的排查思路。

強(qiáng)力推薦windows入侵排查利器：火絨劍

0x01 分析入侵過程

攻擊者入侵windows系統(tǒng)往往從弱口令、系統(tǒng)漏洞以及服務(wù)漏洞進(jìn)行切入，獲得一個(gè)普通的系統(tǒng)權(quán)限，再經(jīng)過提權(quán)后進(jìn)行創(chuàng)建啟動(dòng)項(xiàng)、修改注冊(cè)表、植入病毒和木馬等一系列操作，從而維持對(duì)目標(biāo)主機(jī)的控制權(quán)。而與此同時(shí)操作系統(tǒng)也會(huì)出現(xiàn)異常，包括賬戶、端口、進(jìn)程、網(wǎng)絡(luò)、啟動(dòng)、服務(wù)、任務(wù)以及文件等，系統(tǒng)運(yùn)維人員可以根據(jù)以上異常情況來知道攻擊者從何處入侵、攻擊者以何種方式入侵以及攻擊者在入侵后做了什么這幾個(gè)問題的答案，從而為之后的系統(tǒng)加固、安全防護(hù)提供針對(duì)性建議。

暴力破解：針對(duì)系統(tǒng)有包括rdp、ssh、telnet等，針對(duì)服務(wù)有包括mysql、ftp等，一般可以通過超級(jí)弱口令工具、hydra進(jìn)行爆破

漏洞利用：通過系統(tǒng)、服務(wù)的漏洞進(jìn)行攻擊，如永恒之藍(lán)、Redis未授權(quán)訪問等

流量攻擊：主要是對(duì)目標(biāo)機(jī)器進(jìn)行dos攻擊，從而導(dǎo)致服務(wù)器癱瘓

木馬控制：主要分為webshell和PC木馬，webshell是存在于網(wǎng)站應(yīng)用中，而PC木馬是進(jìn)入系統(tǒng)進(jìn)行植入。目的都是對(duì)操作系統(tǒng)進(jìn)行持久控制

病毒感染：主要分挖礦病毒、蠕蟲病毒、勒索病毒等，植入病毒后往往會(huì)影響受感染電腦的正常運(yùn)作，或是被控制而不自知，電腦正常運(yùn)作僅盜竊資料、或者被利用做其他用途等用戶非自發(fā)引導(dǎo)的行為

0x02 入侵排查方法

一、檢查系統(tǒng)賬號(hào)安全

攻擊者面對(duì)windows系統(tǒng)會(huì)先從用戶密碼入手，首先是通過rdp服務(wù)對(duì)Administrator、Guest等默認(rèn)賬戶的口令爆破，如果爆破沒結(jié)果的話會(huì)固定密碼，對(duì)用戶賬號(hào)進(jìn)行爆破，再之后加入還是失敗的話就是社工生成賬號(hào)、密碼字典，運(yùn)氣好那么就可以直接登錄到管理員賬號(hào)。在拿到系統(tǒng)權(quán)限后，權(quán)限維持則是必不可少的一步，創(chuàng)造一個(gè)新的管理賬號(hào)方便后期登錄查看就是一個(gè)不錯(cuò)的方法，當(dāng)然為了增加隱蔽性該賬號(hào)可以是影子賬戶。根據(jù)這幾方面，檢查看系統(tǒng)賬號(hào)時(shí)可以重點(diǎn)關(guān)注弱口令、可疑賬號(hào)、影子賬戶。

（一）排查服務(wù)器弱口令

檢查方法：

嘗試使用弱口令登錄爆破或直接咨詢管理員

（二）排查可疑賬號(hào)、新增賬號(hào)

檢查方法：

1、打開cmd窗口，輸入 lusrmgr.msc
2、查看是否存在可疑賬號(hào)，特別是管理員群組（Administrators）中的新增賬號(hào)，如果存在需要立即刪除或禁用

（三）排查隱藏賬號(hào)

檢查方法1：

打開注冊(cè)表，查看管理員對(duì)應(yīng)鍵值
1、在桌面打開運(yùn)行（可使用快捷鍵 win+R），輸入 regedit，打開注冊(cè)表編輯器
2、選擇 HKEY_LOCAL_MACHINE/SAM/SAM，默認(rèn)無法查看該選項(xiàng)內(nèi)容，右鍵菜單選擇權(quán)限，打開權(quán)限管理窗口
3、選擇當(dāng)前用戶（一般為 administrator），將權(quán)限勾選為完全控制，然后確定并關(guān)閉注冊(cè)表編輯器
4、再次打開注冊(cè)表編輯器，即可選擇 HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users
5、在 Names 項(xiàng)下可以看到實(shí)例所有用戶名，如出現(xiàn)本地賬戶中沒有的賬戶，即為隱藏賬戶，在確認(rèn)為非系統(tǒng)用戶的前提下，可刪除此用戶

檢查方法2：

通過D盾web查殺工具進(jìn)行檢測(cè)，其中集成了對(duì)克隆賬號(hào)、隱藏賬號(hào)檢測(cè)的功能

（四）結(jié)合日志排查用戶是否出現(xiàn)異常

檢查方法1：

1、在桌面打開運(yùn)行（可使用快捷鍵 win+R），輸入 eventvwr.msc 命令
2、打開時(shí)間查看器，分析用戶登錄日志

檢查方法2：

通過LogFusion查看日志記錄

二、檢查異常端口、進(jìn)程

端口作為計(jì)算機(jī)內(nèi)部與外部數(shù)據(jù)交互的窗口，在攻擊者眼里也是作為香餑餑的存在，在入侵系統(tǒng)后，攻擊者可以在計(jì)算機(jī)上開啟專屬的端口來訪問被害主機(jī)或植入病毒用于挖礦等，熟悉計(jì)算機(jī)的朋友應(yīng)該都知道常用的端口也就那么幾個(gè)，所以通過排查可疑端口能確定主機(jī)是否存在后門、是否被植入挖礦病毒等，再根據(jù)端口的PID對(duì)可疑進(jìn)程對(duì)應(yīng)的程序排查，確定是否為惡意程序。

（一）排查可疑端口

檢查方法1：

1、使用netstat命令查看當(dāng)前網(wǎng)絡(luò)連接，定位可疑的ESTABLISHED連接

netstat -ano

2、根據(jù)PID編號(hào)通過tasklist對(duì)進(jìn)程進(jìn)行定位

tasklist ｜ findstr "PID"

檢查方法2:

通過D盾web查殺工具進(jìn)行端口查看

（二）排查可疑進(jìn)程

檢查方法1：

1、在桌面打開運(yùn)行（可使用快捷鍵 win+R），輸入 msinfo32 命令
2、依次點(diǎn)擊 "軟件環(huán)境 -- 正在運(yùn)行任務(wù)" 就可以查看到進(jìn)程的詳細(xì)信息，比如進(jìn)程路徑、進(jìn)程ID、文件創(chuàng)建日期以及啟動(dòng)時(shí)間等。

檢查方法2：

打開D盾_web查殺工具的進(jìn)程查看，關(guān)注沒有簽名信息的進(jìn)程

檢查方法3：

通過微軟官方提供的 Process Explorer 等工具進(jìn)行排查

在查看可疑的進(jìn)程及其子進(jìn)程。可以重點(diǎn)觀察以下內(nèi)容：

1、沒有簽名驗(yàn)證信息的進(jìn)程
2、沒有描述信息的進(jìn)程
3、進(jìn)程的屬主
4、進(jìn)程的路徑是否合法
5、CPU 或內(nèi)存資源占用長(zhǎng)時(shí)間過高的進(jìn)程

三、檢查啟動(dòng)項(xiàng)、計(jì)劃任務(wù)和服務(wù)

啟動(dòng)項(xiàng)、計(jì)劃任務(wù)、服務(wù)是攻擊者維持權(quán)限的慣用手段。在入侵windows計(jì)算機(jī)后，攻擊者可以通過修改注冊(cè)表、替換粘滯鍵程序在系統(tǒng)啟動(dòng)時(shí)就獲得權(quán)限，也能夠在管理員權(quán)限下設(shè)置計(jì)劃任務(wù)，因?yàn)橛?jì)劃任務(wù)后門分為管理員權(quán)限和普通用戶權(quán)限兩種。管理員權(quán)限可以設(shè)置更多的計(jì)劃任務(wù)，例如重啟后運(yùn)行等。也可以通過meterpreter創(chuàng)建后門服務(wù)。

（一）排查異常啟動(dòng)項(xiàng)

檢查方法1：

單擊【開始】>【所有程序】>【啟動(dòng)】，默認(rèn)情況下此目錄在是一個(gè)空目錄，確認(rèn)是否有非業(yè)務(wù)程序在該目錄下。

檢查方法2：

在桌面打開運(yùn)行（可使用快捷鍵 win+R），輸入 msconfig，查看是否存在命名異常的啟動(dòng)項(xiàng)目，是則取消勾選命名異常的啟動(dòng)項(xiàng)目，并到命令中顯示的路徑刪除文件。

檢查方法3:

在桌面打開運(yùn)行（可使用快捷鍵 win+R），輸入 regedit，打開注冊(cè)表，查看開機(jī)啟動(dòng)項(xiàng)是否正常，特別注意如下三個(gè)注冊(cè)表項(xiàng)：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

檢查右側(cè)是否有啟動(dòng)異常的項(xiàng)目，如有請(qǐng)刪除，并建議安裝殺毒軟件進(jìn)行病毒查殺，清除殘留病毒或木馬。

檢查方法4:

利用安全軟件查看啟動(dòng)項(xiàng)、開機(jī)時(shí)間管理等。

檢查方法5:

在桌面打開運(yùn)行（可使用快捷鍵 win+R），輸入 gpedit.msc 查看組策略

（二）排查計(jì)劃任務(wù)

檢查方法1：

1、在桌面打開運(yùn)行（可使用快捷鍵 win+R），輸入 control 打開控制面板
2、在 系統(tǒng)與安全 中查看計(jì)劃任務(wù)屬性，便可以發(fā)現(xiàn)木馬文件的路徑。

檢查方法2：

1、在桌面打開運(yùn)行（可使用快捷鍵 win+R），輸入 cmd 打開命令行窗口
2、檢查計(jì)算機(jī)與網(wǎng)絡(luò)上的其它計(jì)算機(jī)之間的會(huì)話或計(jì)劃任務(wù)，如有，則確認(rèn)是否為正常連接，其中計(jì)劃任務(wù)在windows7及之前版本的操作系統(tǒng)中使用at命令進(jìn)行調(diào)用，在從windows8版本開始的操作系統(tǒng)中使用schtasks命令調(diào)用。

windows server 2016 下執(zhí)行 schschtasks

windows 7 下執(zhí)行 at

檢查方法3：

利用安全軟件查看計(jì)劃任務(wù)。

（三）排查服務(wù)自啟動(dòng)

檢查方法：

1、在桌面打開運(yùn)行（可使用快捷鍵 win+R），輸入 services.msc
2、注意服務(wù)狀態(tài)和啟動(dòng)類型，檢查是否有異常服務(wù)

四、檢查系統(tǒng)相關(guān)信息

系統(tǒng)本身如果存在漏洞，那么結(jié)果往往是致命的，如果計(jì)算機(jī)存在永恒之藍(lán)漏洞且未采取防護(hù)措施。那么攻擊者就能直接通過MSF的漏洞利用程序獲取目標(biāo)windows系統(tǒng)的system權(quán)限。與此同時(shí)，攻擊者在進(jìn)入系統(tǒng)后往往也會(huì)留一些蛛絲馬跡，如未將上傳文件清除、瀏覽器瀏覽記錄未刪除、下載的文件未刪除等。在檢查系統(tǒng)相關(guān)信息時(shí)就需要重點(diǎn)關(guān)注系統(tǒng)本身存在的漏洞以及攻擊者使用過的文件。

（一）查看系統(tǒng)版本以及補(bǔ)丁信息

檢查方法：

1、在桌面打開運(yùn)行（可使用快捷鍵 win+R）輸入 systeminfo
2、查看系統(tǒng)信息和補(bǔ)丁狀態(tài)

python windows-exploit-suggester.py --database 2021-08-26-mssb.xls --systeminfo systeminfo.txt

（二）查看可疑目錄及文件

檢查方法1：

查看用戶目錄，是否存在新建用戶目錄

Window 2003版本 : C:\Documents and Settings
Window 2003以后版本 : C:\Users\

檢查方法2：

1、在桌面打開運(yùn)行（可使用快捷鍵 win+R）輸入 %UserProfile%\Recent
2、分析最近打開的可疑文件

檢查方法3：

1、點(diǎn)擊文件資源管理器，查找服務(wù)器內(nèi)中的各個(gè)文件夾
2、將文件夾文件按時(shí)間進(jìn)行排序，查找可疑文件，其中修改時(shí)間在創(chuàng)建時(shí)間之前的為可疑文件，也可以在搜索中搜索某一時(shí)間修改的文件。重點(diǎn)關(guān)注windows\system32的sethc.exe是否被替換為cmd程序

檢查方法4：

針對(duì)回收站、瀏覽器下載目錄以及歷史記錄進(jìn)行排查

（三）查看隱藏文件

檢查方法1：

1、在桌面打開運(yùn)行（可使用快捷鍵 win+R），輸入 control，進(jìn)入控制面板
2、找到文件資源管理器選項(xiàng)，點(diǎn)擊 查看 后，取消”隱藏受保護(hù)的操作系統(tǒng)文件“勾選，在隱藏文件和文件夾下面的單選選擇顯示隱藏的文件、文件夾和驅(qū)動(dòng)器

檢查方法2：

如果操作系統(tǒng)版本夠高的話直接在資源管理器中設(shè)置

檢查方法3：

借助fileseek查看文件

五、日志分析

主要查看系統(tǒng)日志和web日志，通過日志可以幫助我們驗(yàn)證對(duì)入侵過程的判斷和發(fā)現(xiàn)其他入侵行為。但它的前提則是日志記錄已開啟的情況下才能獲取。這塊具體會(huì)在之后的日志分析篇提到

（一）系統(tǒng)日志

分析方法：

1、在桌面打開運(yùn)行（可使用快捷鍵 win+R），輸入 eventvwr.msc
2、找到事件查看器，查看windows日志（包括應(yīng)用程序、安全、Setup、系統(tǒng)、事件）

（二）web日志

分析方法：

1、找到中間件、應(yīng)用、WAF的日志（包括但不限于IIS、Nginx、寶塔、網(wǎng)站等）
2、打包至本地進(jìn)行分析，在編輯器中對(duì)關(guān)鍵字進(jìn)行搜索

六、工具查殺

webshell和病毒都是windows系統(tǒng)的大敵，它們可以維持攻擊者的系統(tǒng)權(quán)限、盜竊資料、感染其他主機(jī)、加密文件等，對(duì)操作系統(tǒng)造成非常大的危害。這里推薦D盾以及火絨軟件（當(dāng)然查殺軟件越多越好）。對(duì)病毒進(jìn)行全盤掃描，而對(duì)webshell進(jìn)行web目錄掃描。

0x03 總結(jié)

我們?cè)谧鰬?yīng)急響應(yīng)時(shí)還是需要多從攻擊者的角度去思考問題，知己知彼方能百戰(zhàn)不殆，那么針對(duì)windows系統(tǒng)的入侵排查就介紹到這里。