windows应急响应

查看启动项

windows运行命令打开启动项查看


msconfig

利用注册表查看启动项


计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

查看windows日志


#打开日志管理器
eventvwr


然后利用事件ID去排查相关的操作行为

事件ID 说明
1102 清理审计日志
4624 账号成功登录
4625 账号登录失败
4672 授予特殊权限
4720 创建用户
4726 删除用户
4728 将成员添加到启用安全的全局组中
4729 将成员从安全的全局组中移除
4732 将成员添加到启用安全的本地组中
4733 将成员从启用安全的本地组中移除
4756 将成员添加到启用安全的通用组中
4757 将成员从启用安全的通用组中移除
4719 系统审计策略修改
4768 Kerberos身份验证(TGT请求)
4769 Kerberos服务票证请求
4776 NTLM身份验证

登录类型:

登陆类型 说明 测试 是否会记录登陆IP地址
Logon type 2 Interactive 本地交互登录。最常见的登录方式。 用户关机本地登陆,登陆会触发此登陆类型日志 记录127.0.0.1本地IP地址
Logon type 3 Network 网络登录 - 最常见的是访问网络共享文件夹或打印机。IIS的认证也是Type 3 hydra对445端口(smb)爆破会触发此登陆类型系统日志 IPC$爆破会触发此类登陆类型系统日志 hydra会记录IP地址与登陆用户 IPC$不会记录登录用户
Logon type 4 Batch 计划任务
Logon Type 10 RemoteInteractive RemoteInteractive 远程登录 -- 比如Terminal service或者RDP方式。但是Windows 2000是没有Type10的,用Type 2。WindowsXP/2003起有Type 10 RDP爆破登陆会触发此登陆类型系统日志 mstsc远程登陆会触发此登陆类型系统日志 会记录IP地址与登陆用户
Logon Type 7 Unlock 解除屏幕锁定

文件排查

运行输入


#临时文件
%temp%

#最近打开的文件
%UserProfile%\Recent

进程分析


#网络状态排查
netstat -ano
#进程排查
tasklist /svc

#PID定位
tasklist | find "pid"
wmic process get name,executablepath,processid | find 进程pid
wmic process where name="powershell.exe"

windows服务项排查


#运行命令打开windows服务
services.msc

主要查看服务属性。

windows计划任务


#windows  xp/7/..
at

#windows10
schtasks

打开计算机管理,排查计划任务

程序替换(shift后门)

在系统登录界面,连按5次shift触发粘贴键功能,所以将其替换为cmd.exe,替换之后登录界面连按5次shift将直接唤醒cmd命令框
常见的是替换Shift程序为cmd程序,连续按五下Shift键触发
文件路径:C:\WINDOWS\system32\sethc.exe
实现:将C:\WINDOWS\system32\底下的sethc.exe换成cmd.exe即可

账号排查


#运行命令
lusrmgr.msc

利用注册表查询


#注册表地址
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\account\Users\Names
#命令行查询
reg query HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names

有些时候在SAM下面没有内容,这是因为没有权限进行查看,这时需要定位到


HKEY_LOCAL_MACHINE\SAM\SAM

右键权限 完全控制

然后重新进行查询