昔日

Windows入侵后安全取证方法

暗影思维- 关注安全:

欢迎转载  by nkever

1.记 录当前时间

dos命令:dat /t & time /t


2.记录登录的用户session


dos 命令:net sessions


工具:Psloggedon.exe   Logonsessions.exe


3.记录打开的文件


dos 命令:net file


工具:psfile.exe  open?les.exe


其它:查看文件打开历史记录


4.网络信息(netbios cache)


dos命令:nbtstat -c


              nbtstat -A remoteip


5.网络当前连接状态


dos命令:netstat -ano


6.当前进程状态


工具:进程管理器    tlist.exe(tlist -m xxx.dll)  tasklist.exe pslist.exe  listdll.exe  processhacker.exe  processexplorer.exe


关注点:进程内存模块  ,进程端口映射


7.网络


dos命令:ipconfig /all


8.剪贴板内容


找个word,直接粘贴


工具:Win32::Clipboard()->Get()


7.服务和驱动信息


工具:svc.exe


关注点:服务的异常,异常的驱动


8.dos命令历史记录


工具:doskey.exe  (doskey /history)


9.驱动器映射


工具:di.exe


10.共享


关注点:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\lanmanserver\S


hares


net share


11.自动运行


启动文件夹


HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLL


HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\SetupHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Setup


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run


HKEY_LOCAL_MACHINE\Software\Classes\Exe?le\Shell\Open\command


特殊情况:服务劫持,异常服务,pe注入,DLL动持等等,部分内存木马启动后删除自启动,需用到内存分析。


查看扩展劫持:ftype.exe  exefile


工具:autorun.exe




12.系统日志


工具:psloglist.exe  dumpevt.exe




13.浏览器历史记录,和浏览器配置(如自动完成功能被打开,代理等)




14.文件创建


利用windows搜索入侵期间的文件创建。




15.进程内存DUMP和DUMP文件分析


lspm.pl+bintext3.0


建议直接用processhacker.exe




16.注册表分析点


HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\


HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File ExecutionOptionsHKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\USBSTORHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClassesHKEY_LOCAL_MACHINE\System\MountedDevicesSoftware\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU\Software\Microsoft\Internet Explorer\TypedURLs\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRUSoftware\Microsoft\Windows\CurrentVersion\Explorer\FileExtsSoftware\Microsoft\Search Assistant\ACMruSoftware\Microsoft\Windows\CurrentVersion\Explorer\Map Network Drive MRUSoftware\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2Software\Microsoft\Windows\CurrentVersion\Explorer\ComputerDescriptionHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore16.系统安全日志工具:Vista Event Viewer   HKEY_LOCAL_MACHINE\System\ControlSet00x\Services\EventLog\dos命令:wevtutil el(查看记录的日志 wevtutil gl logname)17.IISLOG 或 ApacheLogiislog:W3SVCn,apachelog:http.conf中定义(LOGS目录)18.软件安装日志Setuplog.txt   Setupact.log    SetupAPI.log  Netsetup.log19.计划任务日志HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent20.XP Firewall Logs21.华生医生日志C:\Documents and Settings\All Users\Application Data\Microsoft\Dr WatsonHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DrWatson22.crash dump 文件dump文件+BinText.exe23.回收站24.PE分析bintext.exe 打开PELOAD/PEVIEW 分析(关注,IAT表)PEID 查壳检查PE是否被BIND其它:虚拟机动态调试(OD)       Dumpbin查看API调用等25.rootkit工具:icesword.exe  Helios  26.hostfile是否被改driver/etc/hosts



评论

热度(9)

  1. 涵舐渊暗影思维- 关注安全 转载了此文字
  2. 昔日暗影思维- 关注安全 转载了此文字
  3. Daeyeon7暗影思维- 关注安全 转载了此文字
  4. redboy暗影思维- 关注安全 转载了此文字
  5. Javan's blog暗影思维- 关注安全 转载了此文字