实用指南：应急响应之入侵检测排查——Windows篇—，Windows日志介绍分析

入侵排查就是首先要分析入侵过程随后

入侵排查方法：

A. 检查系统账号安全

B. 检查异常端口、进程

C. 检查启动项、计划任务、服务

D. 检查系统相关信息

E. 检查系统日志

F. 日志分析

G.工具查杀

1、检查系统账号安全

（1）服务器是否有弱口令，远程管理端口是否对公网开放

方法：尝试弱口令爆破或咨询管理员

（2）否存在可疑账号、新增账号。就是查看服务器

否有新增可疑的账号，如有管理 员群组的（Administrators）里的新增账户如有请立即禁用或删除掉就是方法：打开 cmd 窗口，输入lusrmgr.msc命令，查看

（3）查看服务器是否存在隐藏账号、克隆账号。

方法：1、打开注册表（win+r输入regedit）选择HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users

在 Names 项下可以看到实例所有用户名，如出现本地账户中没有的账户，即为隐藏账户，在确认为非系统用户的前提下，可删除此用户

2、使用D盾_web查杀工具，这个集成了对克隆账号检测的功能

Ps：如果看不到SAM子选项就右键点击HKEY_LOCAL_MACHINE\SAM\SAM → 选择 “权限”，把当前账户的权限设置为 “完全控制”，关闭注册表编辑器后重新打开，就能看到Domains/Account/Users子项了。

（4）结合日志查看管理员登录时间、用户名是否存在异常。

方法：打开事件查看器（win+R输入eventvwr.msc），分析用户登录日志

2、检查异常端口、进程

（1）检查端口连接情况，是否有远程连接、可疑连接。

方法：1、使用’netstat -ano‘查看目前的网络连接，定位可疑的ESTABLISHED（当前处于 “已建立连接” 的状态。）之后根据pid经过tasklist命令定位——tasklist | findstr "目标PID"

2、d盾web查杀工具进行端口查看

（2）检查进程

方法：1、（win+R输入msinfo32）依次点击“软件环境→正在运行任务”就 可以查看到进程的详细信 息

2、打开D盾_web查杀工具，进程查看，关注没有签名信息的进程。

3. 通过微软官方提供的 Process Explorer等工具进行排查 。

4. 查看可疑的进程及其子进程。可以通过观察以下内容：

没有签名验证信息的进程

没有描述信息的进程

进程的属主

否合法就是进程的路径

CPU或内存资源占用长时间过高的进程

3、检查启动项、计划任务、服务

（1）检查服务是否有异常的启动项

方法：

1、单击【开始】>【所有脚本】>【启动】，默认情况下此目录在是一个空目录，确认是否有非业务程序在该目录下。

否有异常的启动项目，就是2、win+R输入msconfig，查看是则取消勾选命名异常的启动项目，并到档案所在路径删除记录。

3、单击【开始】>【运行】，输入regedit，打开注册表，查看开机启动项是否正常，特定注意如下三个注册表项：

HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

检查右侧是否有启动异常的项目，如有请删除，并建议安装杀毒软件进行病毒查杀，清除残留病毒或木马。

4、利用安全软件查看启动项、开机时间管理等。

5、组策略（win+R输入gpedit.msc）

（2）检查计划任务

方法：1、打开控制面板（win+R输入control）搜索任务计划，通过查看计划任务属性，便能够发现木马文件 的路径。

2、打开cmd输入schtasks.exe

检查计算机与网络上的其 它计算机之间的会话 或计划任务，如有，则确认是否为正常连接。

Ps:其中计划任务在windows7及之前版本的操作系统中采用at命令进行调用，在从windows8版本开始的操作系统中使用schtasks命令调用。

3、使用安全软件查看计划任务

（3）服务自启动

方法：win+R输入services.msc，注意服务状态和 启动类型，检查是否有异常服务

4、检查系统相关信息

（1）查看系统版本以及补丁信息

方法：打开cmd输入systeminfo查看系统信息和补丁，对系统补丁进行漏洞利用分析

（2)查找可疑目录及记录

方法：1、查看用户目录，是否存在新建用户目录

Window 2003版本 : C:\Documents and Settings

Window 2003以后版本 : C:\Users\

2、win+R输入%UserProfile%\Recent（打开最近访问的文件）分析最近打开的可疑记录

3、

1、点击资料资源管理器，查找服务器内中的各个文件夹
2、将文件夹档案按时间进行排序，查找可疑档案，其中修改时间在创建时间之前的为可疑文件，也行在搜索中搜索某一时间修改的档案。重点关注windows\system32的sethc.exe是否被替换为cmd程序

4、针对回收站、浏览器下载目录以及历史记录进行排查

（3）查看隐藏记录

方法：1、打开控制面板找到文件资源管理器选项，点击 查看 后，取消”隐藏受保护的操作系统文档“勾选，在隐藏材料和文件夹下面的单选选择显示隐藏的文件、文件夹和驱动器

5、检查系统日志及分析

windows事件日志

windows事件日志简介：Windows系统日志是记录系统中硬件、软件和系统问题的 信息，同时还可以监视系统中发生的事件。用户可以借助它来检查 错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹。

Windows主要有以下三类日志记录系统事件： 应用程序日志 系统日志 安全日志

事件查看器（win+R输入eventvwr.msc）

系统日志：

记录操作系统组件产生的事件，主要包括驱动程序、平台组件和应用 软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。

默认位置： %SystemRoot%\System32\Winevt\Logs\System.evtx

应用程序日志：

包含由应用程序或系统程序记录的事件，主要记录程序运行方面的事 件，例如数据库脚本可以在应用程序日志中记录文件错误，程序开发人员可以 自行决定监视哪些事件。如果某个应用程序出现崩溃情况，那么我们允许从程 序事件日志中找到相应的记录，也许会有助于你解决问题。

默认位置： %SystemRoot%\System32\Winevt\Logs\Application.evtx

安全日志：

记录系统的安全审计事件，包括各种类型的登录日志、对象访问日志 、进程追踪日志、特权应用、帐号管理、策略变更、框架事件。安全日志也是 调查取证中最常用到的日志。默认设置下，安全性日志是关闭的，管理员可以 运用组策略来启动安全性日志，或者在注册表中设置审核策略，以便当安全性 日志满后使系统停止响应。

默认位置： %SystemRoot%\System32\Winevt\Logs\Security.evtx

日志分析

不同的EVENT ID代表不同的意义

不同登录类型代表不同的方式