一、如何找到恶意文件
- 检查网络连接 netstat -ano,如有恶意对外连接需要注意哦,特别是挖矿、对外暴力破解。
- 根据PID找到进程
tasklist | findstr "$PID" 或 wmic process get name,executablepath,processid | findstr $PID
$PID为可以进程的PID号
- 找到恶意文件
(1)利用任务管理器和CMD命令行手工找恶意文件
- 任务管理器 taskmgr
- 服务 services.msc
(2)进程分析神器PC Hunter (www.xuetr.com ) 没有发布方签名的、名字/路径异常的都可能是可以进程
(3)进程分析神器Process Explore https://technet.microsoft.com/en-us/sysinternals/bb896653/
(4)简单粗暴:360安全卫士木马全盘查杀
关于PC Hunter和Process Explore,我会在其他篇章中具体介绍。
- 找到可以文件后将其上传到木马鉴别网站
- 微步在线:https://x.threatbook.cn/
- virustotal:www.virustotal.com
二、日志分析
1.windows自带日志管理器:eventvwr
2.日志分析神器splunk
- 查找关键时间点是否存在爆破登录记录
- 是否存在异地异常成功登录记录
- 确认远程登录账户是否存在弱口令
Event ID:4722创建用户
Event ID:4624RDP登录成功
Event ID:7045注册为windows服务
关于windows登录成功的日志和借助Splunk分析将会在其他篇章中介绍。
三、其他辅助手段
1.查看用户 net user
2.检测否是弱密码 https://password.kaspersky.com/
3.性能监视器 perfmon.msc
4.资源监视器 resmon.exe
5.注册表 regedit.exe
6.组策略 gpedit.msc
7.Wndows更新检查
- 2008:控制面板\所有控制面板项\Windows Update
- 2012:控制面板\所有控制面板项\Windows 更新\查看更新历史记录"
8.查看计划任务
a) Windows server 2008 运行at
b) Windows server 2012 运行schtasks.exe
9.云服务商一般都会提供态势感知服务,借助IDS/WAF/安全防护日志辅助分析
原文地址:http://blog.51cto.com/winhe/2116654