文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

渗透测试基础- - -windows入侵排查

2023-09-06 09:02

关注

渗透测试基础- - -windows入侵排查

目录

一,文件排查

二,进程排查

三,系统信息排查

四,登录日志排查


一,文件排查

(1)开机启动有无异常文件

打开任务管理器----选择“启动”

(2)各个盘下的temp(tmp)相关目录下查看有无异常文件 :windwos产生的临时文件

(3)浏览器浏览痕迹、浏览器下载文件、浏览器cookie信息,根据不同浏览器进行排查,或者快捷键【ctrl+H】

 

 

(4)Recent是系统文件夹,里面存放着你最近使用的文档的快捷方式,查看 用户recent相关文件,通过分析最近打开分析可疑文件: 【开始】➜【运行】➜【%UserProfile%\Recent】

(5)根据文件夹内文件列表时间进行排序,查找可疑文件。当然也可以搜索指定日期范围的文件及文件

(6)查看文件时间,创建时间、修改时间、访问时间,黑客通过菜刀类工具改变的是修改时间。 所以如果修改时间在创建时间之前明显是可疑文件.

 

(7)搜索webshell相关内容 例如:PHP webshell findstr /m/i/s “eval” *.php(注意字符串编码格式)

索引表

 

Webshell文件内容中常见的恶意函数:

PHP:eval、assert、System ......

JSP:getRunTime、FileOutputStream ......

ASP:eval、excute、ExcuteGlobal ......

二,进程排查

(1)netstat -ano 查看目前的网络连接,定位可疑的 ESTABLISHED netstat 显示网络连接、路由表和网络接口信息;

常见的状态:

LISTENING 侦听状态

ESTABLISHED 建立连接

CLOSE_WAIT 对方主动关闭连接或网络异常导致连接中断

(2)根据netstat定位出的pid,再通过tasklist命令进行进程定位 tasklist:显示运行在本地或远程计算机上的所有进程;

例如:tasklist |findstr 1228

 

(3)根据wmic process 获取进程的全路径 [任务管理器也可以定位到进程路径]。

右击程序----选择“打开文件夹所在的位置”

下面提供一些常用的病毒使用的端口信息,可以作为参考:

 

三,系统信息排查

(1)查看环境变量的设置

【我的电脑】➜【属性】➜【高级系统设置】➜【高级】➜【环境变量】

排查的内容:

1)temp变量的所在位置的内容;

2)后缀映射 PATHEXT 是否包含有非windows的后缀;

3)有没有增加其他的路径到 PATH 变量中(对用户变量和系统变量都要进行排查);

 

(2)windows计划任务

【程序】➜【附件】➜【系统工具】➜【任务计划程序】

 

(3)windows帐号信息

如隐藏帐号等 【开始】➜【运行】➜【compmgmt.msc】➜【本地用户和组】➜【用户】

(用户名以$结尾的为隐藏用户,如:admin$)

命令行方式:net user,可直接收集用户信息(此方法看不到隐藏用户),若需查看某个用户的详细信息,可使用命令➜net user username;

(4)查看当前系统用户的会话

使用➜ query user 查看当前系统的会话,比如查看是否有人使用远程终端登录服务器

或者whoami

logoff 踢该用户.

(5)查看 systeminfo 信息,系统版本以及补丁信息

例如系统的远程命令执行漏洞 MS17-010(永恒之蓝)、MS08-067、MS09-001 …若进行漏洞比对,建议自建使用Windows-Privilege-Escalation -Exploit;

四,登录日志排查

打开事件管理器

【开始】→【管理工具】→【事件查看】

主要分析安全日志,可以借助自带的筛选功能

可以把日志导出为文本格式,然后使用notepad++ 打开,使用正则模式去匹配远程登录过的 IP 地址,在界定事件日期范围的基础。或者通过事件id,类型,时间等痕迹联动判断是否为攻击行为,以及攻击特点等。

来源地址:https://blog.csdn.net/weixin_67503304/article/details/127581336

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯