Windows 分析排查

分析排查是指对 Windows 系统中的文件、进程、系统信息、日志记录等进行检测,挖掘 Windows 系统中是否具有异常情况

1.开机启动项检查

一般情况下,各种木马、病毒等恶意程序,都会在计算机开机启动过程中自启动

查看开机启动项:

1.利用操作系统中的启动菜单(注意有的是中文路径)

C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Strat Menu\Programs\Startup

2.利用系统配置 msconfig

3.利用注册表 regedit

HKEY_CURRENT_USERS/software/Microsoft/Windows/CurrentVersion/Run

如果在注册表中写了对应内容,在启动菜单中不会显示

2.temp 临时文件夹异常文件排查

temp:临时文件夹,位于 C:\Documents and Settings\Administrator\Local Settings\ 内,很多临时文件放在这里,用来收藏、浏览网页的临时文件、编辑文件等

打开 temp 文件:运行输入 %temp%

查看 temp 文件夹中是否有可疑文件: PE 文件(exe、dll、sys),或者是否具有特别大的 tmp 文件

将文件上传到 https://www.virustotal.com/ 进行查看,是否为恶意代码

使用 temp 文件夹的几个优点:

  • 在某些系统中,temp 文件夹位于 RAMDISK 上,与通常的磁盘文件系统相比,使写入操作和文件操作快得多;
  • temp 文件夹对当前登录的用户具有读写访问权限;
  • 操作系统还具有清理 temp 文件夹中临时文件的不完整写入的优点。

3.浏览器信息记录

在对 Windows 系统进行排查分析时,可疑查看浏览器记录:

  • 浏览器浏览痕迹查看
  • 浏览器文件下载记录查看
  • 浏览器 Cookie 信息查看

工具下载:https://launcher.nirsoft.net/downloads/index.html

4.文件时间属性分析

文件属性的时间属性:创建时间、修改时间、访问时间(默认情况下禁用),默认情况下,计算机是以修改时间作为展示

如果修改时间要早于创建时间,那么这个文件存在很大的可疑(在使用菜刀等工具对webshell文件的修改时间进行修改时,修改时间早于创建时间)

5.最近打开文件分析

  • 可以在目录:C:\Documents and Settings\Administrator\Recent 下查看
  • 运行:%UserProfile%\Recent 查看

然后利用 Windows 中筛选条件查看具体时间范围的文件

6.可疑进程发现与关闭

netstat -ano |find "ESTABLISHED":查看网络建立连接状态(一般 80、443 是正常的)

tasklist /svc |find "PID":查看具体 PID 进程对应的程序

taskkill /PID pid值 /T:关闭进程

7.Windows 计划任务

使用 at 命令(schtasks.exe)可疑对计划任务进行管理

可视化:控制面板->Windows 工具->任务计划程序

8.隐藏账号发现与删除

最为简单的隐藏账户建立:net user test$ 123456 /add && net localgroup administrators test$ /add(其中 $ 符号可以导致系统管理员在使用 net user 时,无法查看到 test$ 用户

在计算机管理中的本地用户和组中可以查看到

注册表:regedit

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names

排查是否有隐藏账户

9.恶意进程的发现与关闭

对于可执行程序,可以直接用杀软进行查杀,但并非所有的恶意程序都能够被查杀,此时可以进行手动查杀

使用工具:process explore,然后利用 virustotal.com 进行分析。对恶意程序相关的服务进行关闭

10.补丁查看与更新

查看系统信息:systeminfo(不包含第三方的补丁)

查看补丁:控制面板->程序和功能->查看已安装的更新(如果安装更新补丁后蓝屏等故障,使用PE工具卸载更新的补丁即可)

11.webshell 发现与查杀

D 盾:http://www.d99net.net/index.asp

河马 webshell 查杀:http://www.shellpub.com

深信服 webshell 网站后门检测工具:http://edr.sangfor.com.cn/backdoor_detection.html

safe3:http://www.uusec.com/webshell.zip

01、Windows 排查的更多相关文章

  1. 01 Windows安装Tensorflow

    1.安装Python. 点击此处下载Python3.5.2.安装Python时一定要选择安装pip. 2.配置Python环境变量. 将%安装路径%\Scripts添加到Path下面. 3.修改Pip ...

  2. (Go)01.Windows 安装 Go语言开发环境以及使用

    一.Go语言下载 go语言官方下载地址:https://golang.org/dl/ 找到适合你系统的版本下载,本人下载的是windows msi版本.也可以下载Source自己更深层次研究go语言 ...

  3. windows 排查javaWeb程序占用CPU过高问题(可追踪到问题代码所在行)

      1.情景展示 java虚拟机占用这么高的CPU,肯定不正常! 2.原因分析 第一个是tomcat,正在运行java项目: 第二个是eclipse,因为eclipse的运行依赖于java. 现在的问 ...

  4. 01 Windows编程——Hello World

    源码 #include "stdafx.h" #include<Windows.h> int WINAPI WinMain(HINSTANCE hInst,HINSTA ...

  5. 操作系统|01.Windows

    Windows基础 1.系统目录 1.1 C盘根目录 Data:Windows系统目录,放置程序的使用数据.设置等文件. MyDrivers:驱动程序文件夹. PerfLogs:日志文件夹. Prog ...

  6. MFC入门教程01 Windows编程基础

  7. 01 Windows安装C语言环境

    安装C语言运行环境 双击打开安装文件,进行安装 配置环境变量 将: C:\MinGW\bin;添加到Path变量里面. 验证环境变量是否成功 gcc –v 出现如下图所示,证明安装成功

  8. 渗透中Meterpreter基本操作和对应的windows上的排查或者现象

    Meterpreter的简单介绍 Meterpreter 是MSF自带一个强大的SHELL,可以执行很多功能. Meterpreter SHELL 基本操作 meterpreter>backgr ...

  9. 深入浅出HTTP请求(转自http://www.cnblogs.com/yin-jingyu/archive/2011/08/01/2123548.html)

    HTTP(HyperText Transfer Protocol)是一套计算机通过网络进行通信的规则.计算机专家设计出HTTP,使HTTP客户(如Web浏览器)能够从HTTP服务器(Web服务 器)请 ...

  10. userAgent,JS这么屌的用户代理,你造吗?——判断浏览器内核、浏览器、浏览器平台、windows操作系统版本、移动设备、游戏系统

    1.识别浏览器呈现引擎 为了不在全局作用域中添加多余变量,这里使用单例模式(什么是单例模式?)来封装检测脚本.检测脚本的基本代码如下所示: var client = function() { var ...

随机推荐

  1. KingabseES例程-函数和过程的 INVOKER 与 DEFINER

    调用者权利和定义者权利子句 指定子程序的权利属性.权利属性影响单元在运行时,执行的SQL语句的名称解析和权限检查. PG模式: SECURITY INVOKER SECURITY DEFINER Or ...

  2. 一个可以让你有更多时间摸鱼的WPF控件(一)

    前言 我们平时在开发软件的过程中,有这样一类比较常见的功能,它没什么技术含量,开发起来也没有什么成就感,但是你又不得不花大量的时间来处理它,它就是对数据的增删改查.当我们每增加一个需求就需要对应若干个 ...

  3. Bochs调试指令

    Bochs   Bochs就像一台真机一样,处理器在加电之后,要开始取指令并执行指令. jmpf f000:e05b ;转移目标位置ROM-BIOS   如图在左侧显示了该指令所在的物理内存地址 0x ...

  4. 学习 Tensorflow 的困境与解药

    我构建的预测模型 在过去的一段时间里我抓去了小宇宙内上万条播客节目的首日播放量的数据,并利用这些数据构建了一个用于预测播客节目播放量的模型.包含以下六个输入参数: 节目发布于一周中的哪一天 节目发布于 ...

  5. #Multi-SG#BZOJ 2940 [POI2000] 条纹

    题目 有\(n\)个格子,可以选择三种长度的线段覆盖,不能重叠, 无法覆盖者为负,问先手是否必胜,\(n\leq 10^3\) 分析 考虑选择一个位置覆盖则该局面分成两个局面, 直接求出SG函数不为0 ...

  6. SQL 数据操作技巧:SELECT INTO、INSERT INTO SELECT 和 CASE 语句详解

    SQL SELECT INTO 语句 SELECT INTO 语句将数据从一个表复制到一个新表中. SELECT INTO 语法 将所有列复制到新表中: SELECT * INTO newtable ...

  7. 我为什么选择Wiki.js记笔记?

    很长一段时间里,我都被困扰着,感觉陷入了笔记的泥潭,而积累的如此多的笔记也没有形成我自己的知识体系. 之前的记笔记方式 笔记的来源 微信公众号 技术博客 纸质书籍 官网文档 PDF 自己的零散想法 网 ...

  8. 深入解析decltype和decltype(auto)

    decltype关键字是C++11新标准引入的关键字,它和关键字auto的功能类似,也可以自动推导出给定表达式的类型,但它和auto的语法有些不同,auto推导的表达式放在"="的 ...

  9. [MAUI]集成富文本编辑器Editor.js至.NET MAUI Blazor项目

    @ 目录 获取资源 从源码构建 从CDN获取 获取扩展插件 创建项目 创建控件 创建Blazor组件 初始化 保存 销毁 编写渲染逻辑 实现只读/编辑功能 切换模式 获取只读模式状态 响应切换事件 实 ...

  10. Android 开发入门(1)

    0x01 准备 (1)概述 安卓(Android)基于 Linux 内核开发的操作系统,由 Google 等领导开发. (2)版本 Android 版本号 API 发布时间 Android 14 - ...