安全运维 - Windows系统攻击回溯

Windows应急事件

病毒、木马、蠕虫
Web服务器入侵事件或第三方服务入侵事件
系统入侵事件
网络攻击事件（DDOS、ARP、DNS劫持等）

通用排查思路

获知异常事件基本情况
发现主机异常现象的时间点和发现者
异常现象
受害用户的应急举措
异常原因
可能的入侵思路
可能存在的痕迹

获取Windows基本信息
机器名称
操作系统版本
OS安装时间
启动时间
域名
补丁安装情况
计算机的详细信息

检查相关日志
Windows日志位置： 
Windows 2000/Server2003/Windows XP
\%SystemRoot%\System32\Config\*.evt
Windows Vista/7/10/Server2008
\%SystemRoot%\System32\winevt\Logs\*.evtx
日志审核策略 - auditpol /get/category:* 
远程登录事件：RDP、PSExec
日志GUI分析工具： Event Log Explorer、Microsoft Messeage Analyser、ETL Viewer 、 Log Parser
PowerShell日志操作： Get-WinEvent、Get-WinEvent -ListLog *
单条日志删除工具： EventCleaner、Eventlogedit-evtx--Evolution

检查账户
本地用户和组里查看，运行lusrmgr.msc
使用net usr列出当前登录账号，使用 wmic UserAccount get列出当前系统所有账户
检查注册表Hey...(需要管理员权限)
检查SID

检查网络连接
netstat -anob、 netstat -rn、 netstat -anob | findstr "443"、netsh firewall show all

检查进程
netstat -abno | find "port number"、tasklist | findstr PID、wmic process | find "Proccess Id">proc.csv
内存dump：SysinternalsSuite工具集的 notmyfault64
内存分析：使用Volatility进行内存取证、分析入侵攻击痕迹，包括网络连接、进程、服务、驱动模块、DLL、handles、检测进程注入、
检测Meterpreter、cmd历史命令、IE浏览器历史记录、启动项、用户、shimcache、userassist、部分rootkit隐藏文件、cmdliner等

检查开机启动和运行服务
注册表中关于开机启动的位置：HKLM...
关于开机启动需要分析的位置：开始菜单，启动项
任务管理器启动选项卡，或者运行msconfig，查看启动选项卡
运行gpedit.msc在本地组策略编辑器里查看开机运行脚本，包括计算机配置和用户配置
使用SysinternalsSuite工具集的Autoruns工具查看开机启动项目
服务状态，自动启动配置 PowerShell - Get-Service

检查计划任务
存放计划任务的文件： System32\Tasks\、 SysWOW64\Tasks\、 Windows\tasks\、*.job(指文件)
使用命令查看计划任务： schtasks、运行taskschd.msc打开计划任务面板，或者从计算机管理进入
使用SysinternalsSuite工具集的Autoruns工具查看计划任务

检查文件
通过可以进程（CPU利用率、进程名）关联的文件
按照时间现象关联的文件
需要关注的文件位置：下载目录、回收站文件、程序临时文件、历史文件记录、应用程序打开历史、搜索历史、快捷方式、驱动、
进程DLL的关联查询、共享文件、最近的文件（%UserProfile%\Recent）、文件更新、
已安装文件（hklm:\software\Microsoft\Windows\CurrentVersion\Uninstall\）、异常现象之前创建的文件

检查注册表