干货|攻击溯源的排查范围

文章来源：LemonSec 前言 在系统被入侵后，需要迅速梳理出黑客的攻击路径，本文总结windows系统攻击溯源过程中必要的排查范围。 排查项目 用户 查看当前登录用户 1 query user 查看系统中所有用户 1 2 3 1. net user 2. 开始-运行-lusrmgr.msc 3.查看C:Users目录排查是否新建用户目录，如果存在则排查对应用户的download和desktop目录是否有可疑文件 查看是否存在隐藏账号，克隆账号 1 2 开始-运行-regedit 查看HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers中是否有异常 启动项 注册表查看启动项 1 2 3 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun 命令行查看启动项 1 wmic startup list full 组策略中查看启动 1 运行-gpedit.msc Recent目录 此目录可以看到程序或文件最后被打开和使用的日期时间。 1 C:UsersAdministratorRecent windows日志 安全日志 计算机-管理-事件查看器-windows日志-安全(或eventvwr.msc) 根据时间排查安全日志里的登录事件，用户创建等事件情况 着重寻找登录事件(ID4624)且登录类型为3和10等远程登录方式 windows安全日志文件： C:WindowsSystem32winevtLogsSecurity.evtx 查看其大小是否为20M左右，若远远小于20M则有可能被清理过 系统日志 计算机-管理-事件查看器-windows日志-系统 查看恶意进程的运行状态时间等 排查可疑进程 查看可疑网络连接 1 netstat -b -n 根据网络连接寻找pid 1 netstat -ano | findstr xxx 根据pid寻找进程 1 tasklist | findstr xxx 杀死可疑进程 1 taskkill /T /F /PID xxxx 排查计划任务 1 2 3 schtasks /query /fo table /v 运行-taskschd.msc 排查系统服务 1 运行-service.msc 工具使用 PECmd 使用PECmd导出最近活动项目 LastActivityView 使用LastActivityView图形化工具查看最近活动项目 作者：Leticia's Blog 文章来源：http://next.uuzdaisuki.com 一如既往的学习，一如既往的整理，一如即往的分享。感谢支持 “如侵权请私聊公众号删文”