入侵排查

系統排查
進程排查
服務排查
文件痕跡排查
日誌分析
內存分析
流量分析
威脅情報

系統排查—基本信息

Windows

使用 Microsoft 系統信息工具（msinfo32.exe)，它是Microsoft Windows NT 診斷工具（Winmsd.exe)的更新版本

① 系統信息工具：輸入 msinfo32 命令，打開系統摘要信息窗口
② 正在運行的任務：系統摘要 ->軟件環境 ->正在運行的任務，可以看到正在運行的任務名稱、路徑、進程ID等信息
③ 服務：在系統摘要 ->軟件環境 -> 服務選項，查看服務的名稱、狀態、路徑等信息
④ 系統驅動程序：軟件環境 -> 系統驅動程序，可以查看系統驅動程序的名稱、描述、文件等信息
⑤ 加載的模塊：軟件環境 ->加載的模塊，查看加載的模塊的名稱、路徑等信息
⑥ 啟動程序：軟件環境 -> 啟動程序，查看啟動程序的命令、用戶名、位置等信息
⑦ 還可以使用 systeminfo 命令查看簡要信息

linux

CPU信息：查看CPU的型號、主頻、內核等信息

lscpu

操作系統信息：查看當前操作系統信息

uname -acat /proc/version

模塊信息：查看所有載入系統的模塊信息

lsmod

用戶信息

Windows

排查惡意賬戶

① 命令行輸入：net user，這種方法看不到 $ 隱藏的賬戶
② 圖形界面：在計算機管理 -> 本地用戶和組 -> 用戶中查看，可以查看隱藏賬戶，名稱以 $ 結尾的是隱藏賬戶或者通過 lusrmgr.msc 命令，打開圖形界面
③ 註冊表查看：運行中輸入 regedit，打開註冊表編輯器，在 HKEY_LOCAL_MACHINE下的 SAM 選項，可以訪問到子項並查看用戶信息，查看是否存在隱藏克隆賬戶

④ wmic： wmic useraccount get name,sid

win11使用mimikatz

privilege::debugtoken::elevatelsadump::sam

linux

查看所有用戶信息： cat /etc/passwd ，分別表示： “用戶名”“密碼加密”“用戶ID”“用戶組ID”“註釋”“用戶主目錄”“默認登錄shell”，最後顯示 “bin/bash”表示賬戶狀態可登錄，如果為“sbin/nologin”，表示賬戶狀態不可登錄

分析超級權限賬戶：查詢可登錄賬戶UID為0的賬戶，root是UID為0的可登錄賬戶，如果出現其它為0的賬戶，就要重點排查：

awk -F: '{if($3==0)print $1}' /etc/passwd

查看可登錄的賬戶：

cat /etc/passwd | grep 'bin/bash’

查看用戶錯誤的登錄信息：

lastb

查看所有用戶最後的登錄時間：

lastlog

查看用戶最近登錄信息：

last

數據源為 /var/log/wtmp 、 /var/log/btmp、 /var/log/utmp。wtmp存放登錄成功的信息，btmp存放登錄失敗的信息，utmp存放正在登錄的信息

查看當前用戶登錄系統情況：

who

啟動項

Windows

windows系統中自啟動文件時按照2個文件和5個核心註冊表子鍵來自動加載程序

通過“系統配置”對話框查看：在命令行輸入 msconfig

通過註冊表查看：註冊表時操作系統中一個重要的數據庫，主要用於存儲系統必需的信息

註冊表以分層的組織形式存儲數據元素，數據項是註冊表的基本元素，每個數據項下面不但可以存儲很多子數據項，還可以以鍵值的形式存儲數據

HKEY_CLASSES_ROOT (HKCR)：此處存放信息可確保windows資源管理器中執行時打開正確的程序，還包含有關拖放規則、快捷方法和用戶界面信息的更多詳細信息

HKEY_CURRENT_USER(HKCU)：包含當前登錄系統的用戶的配置信息，有用戶的文件夾、屏幕顏色和控制面板的設置

HKEY_LOCAL_MACHINE(HKLM)：包含運行操作系統的計算機硬件特定的信息，有系統上安裝的驅動器列表以及已安裝硬件和應用程序的通用配置

HKEY_USERS(HKU)：包含系統上所有用戶配置文件的配置信息，有應用程序配置和可視化設置

HKEY_CURRENT_CONFIG(HCU)：存儲有關係統當前配置的信息

linux

啟動項是惡意病毒實現持久化的常用手段

查看 init.d 文件加下的rc.local 文件內容：

cat /etc/init.d/rc.local

查看rc.local 文件的內容

cat /etc/rc.local

查看init.d 文件夾下所有文件的詳細信息

ls -alt /etc/init.d :

kali默認是沒有rc.local的，需要自己創建

計劃任務

Windows

計算機管理 -> 系統工具 -> 任務計劃程序 -> 任務計劃程序庫，查看任務計劃名稱、狀態、觸發器等信息

在powershell輸入：

Get-ScheduledTask

命令行輸入：獲取任務計劃時要求是本地Administrators的成員

schtasks

Linux

命令輸入：

crontab -l crontab -u root -l

查看 /etc 目錄下的任務計劃文件：

ls /etc/cron*

1.網絡安全多個方向學習路線
2.全網最全的CTF入門學習資料
3.一線大佬實戰經驗分享筆記
4.網安大廠面試題合集
5.紅藍對抗實戰技術秘籍
6.網絡安全基礎入門、Linux、web安全、滲透測試方面視頻

#03動態代理

進程排查

Windows

通過任務管理器查看，可以在”查看“中選擇”選擇列“，然後添加”映像路徑名稱“ 和”命令行“ 查看更多進程信息

使用tasklist命令

查看進程與服務對應情況：

tasklist /svc

對於某些DLL 惡意進程：

tasklist /m

查看調用 ntdll.dll 模塊的進程：

tasklist /m ntdll.dll

可以通 /fi 進行過濾：

tasklist /svc /fi "PID eq 2820"

通過 netstat 進行排查

查看當前網絡連接：

netstat -ano | findstr "ESTABLISHED"

通過netstat 定位出PID，通過tasklist 命令進行程序定位

wmic process where name="firefox.exe" get processid,executablepath,name wmic process where processid=602444 get processid,executablepath,name

快速定位到端口對應的程序（管理員權限）： netstat -anb

使用Powershell進行排查

進入Powershell：

get-wmiobject win32_process | select name,processid,parentprocessid,path

wmic查詢

以csv格式顯示數據：wmic process list full /format:csv

wmic process get name,parentprocessid,processid /format:csv wmic process get executablepath,processid /format:csv wmic process where processid=2020 get executablepath,processid /format:csv wmic process where name="exe" get executablepath,processid /format:csv

linux

① 查看進程：

netstat -anptl

② 然後查看3364進程的可執行程序：

ls -alt /proc/3364

查看進程打開的文件：

lsof -p3364

③ 如果是惡意進程，可殺掉進程：

kill -9 3364

然後刪除可疑木馬：

rm -rf 木馬文件

④ 如果無法刪除，可能文件被加上 i 屬性，使用： lsattr 文件名，查看屬性，然後使用 chattr -i 文件名，移除 i 屬性，然後刪除文件

⑤ 如果進程無法刪除，可疑先查殺守護進程，然後再刪除

⑥ 通過 top 查看相關資源佔用率比較高的進程

服務排查

Windows

打開“運行”，輸入 services.msc 命令，可打開 “服務”窗口，查看所有服務項，包括服務名、描述、狀態等

linux

查看系統運行服務：

chkconfig --list

chkconfig命令屬於readhat的linux系統的命令。如果系統屬debina系如ubuntu是沒有這個命令的。

所有服務的狀態：

service --status-all

文件痕跡排查

對惡意軟件常用的敏感路徑進行排查

在確定了應急響應事件的時間點後，對時間點前後的文件進行排查

對帶有特徵的惡意軟件進行排查，這些特徵包括代碼關鍵字或關鍵函數，文件權限特徵等

敏感目錄

Windows

檢查各個盤下的 temp（tmp）相關目錄：有些惡意程序釋放子體（即惡意程序運行時投放出的文件）一般會在程序中寫好投放的路徑，常常為臨時目錄。對敏感目錄進行檢查，一般是看臨時目錄下是否存在異常文件

對於一些人工入侵的應急響應事件，有時入侵者會下載一些後續攻擊的工具。windows系統要重點排查瀏覽器的歷史記錄，下載文件和cookie信息，查看是否由相關的惡意痕跡

查看用戶Recent文件

Recent文件主要存儲了最近運行文件的快捷方式，可以通過分析最近運行的文件，排查可疑文件，一般Recent文件在windows系統中的存儲位置： C:UsersAdministratorRecent、C:Users用戶名Recent，或者通過“運行”-> 輸入 “ recent ”

預讀取文件夾查看

Prefetch 是預讀取文件夾，用來存放系統已經訪問過的文件的預讀取信息，擴展名為pf，之所以自動創建Prefetch文件夾，是為了加快系統啟動的進程。 windows7可以保存最近128個可執行文件的信息，在windows8和windows10系統中可以記錄最近1024個可執行文件，一旦建立了映像，之後應用軟件的裝入速度可大幅度提升。

Prefetch文件夾的位置為 %SystemRoot%Prefetch ，可以在運行對話框中輸入 prefetch 或者 %SystemRoot%Prefetch，或者打開：C:WindowsPrefetch

linux

linux常見敏感目錄：

~/.ssh 以及 /etc/ssh 也經常作為一些後門配置的路徑，需要重點排查

時間點

應急響應事件發生後，需要先確認事件發生的時間點，然後排查時間點前、後的文件變動情況，從而縮小排查的範圍

Windows

列出攻擊日期內新增的文件，從而發現相關的惡意軟件。在windows系統中，輸入命令： forfiles ，查找相應的文件

例如：

顯示對 2021/11/27 後的創建的txt文件進行搜索：

forfiles /m *.txt /d +2021/11/27 /s /p c: /c "cmd /c echo @path @fdate@ftime" 2>null

顯示 2021/11/1 之後pptx名字包含”網絡“的文件：

forfiles /m *網絡*.pptx /p f: /d +2021/11/1 /s /c "cmd /c echo @path@fdate @ftime" 2>null

顯示 2021/11/27 後所有訪問過的文件：

forfiles /m *.* /p f: /d +2021/11/27 /s /c "cmd /c echo @path @fdate@ftime" 2>null

以上命令中 2>null 表示將錯誤輸出重定向到空設備，即不輸出錯誤信息。

對文件的創建時間、修改時間、訪問時間進行排查，對於人工入侵的應急響應事件，有時攻擊者會為了掩飾入侵行為，對文檔的相應時間進行修改，以規避一些排查策略，比如攻擊者可能通過”菜刀“這類工具修改時間，因此，如果文件的相關時間存在明顯邏輯問題，就需要重點排查，很可能是惡意文件（比如創建時間為2021，修改時間為2018）