windows服务器后门排查分析

         现在是windows的后门排查,分为五部分来讲,第一个是文件排查,还有进程排查,还有系统的信息排查,还有windows的日志排查,还有工具排查,然后从文件排查开始,开机启动,看有没有异常的文件。然后我们在任务管理器中可以看到驱动的程序,然后做个案例,管理器里面有个启动。对。然后我们可以从这启动这里分析有没有可疑的进程,已经入侵到了启动这里。然后看到像这些桌面助手,这些都是挺正常的。

然后很明显有一个脚本,离奇的脚本是比较可疑的,然后我们就把它禁用掉,之前我已经禁用掉了,要打开的文件,那它存在这个路径下面,启动的,路径下面,然后接下来是文件排查的敏感文件路径的排查,在这些路径下面都是比较敏感的路径,可以用工具把这些路径扫一遍或者是手动的来看。

接着是每个盘下面的临时文件看有没有异常文件,例如这里是windows产生的临时文件,还有一个就是比较实用的是快速访问,里面存放的是文件的快捷方式,还有通过最近最近打开的一些文件,例如就是一台电脑刚刚被黑客攻击过的话,我们可以通过快速访问来看一下黑客最近他访问了哪里,做了什么,我做个演示,这里这里有个快速访问,然后点它的时候会看到下面有最近使用过的文件,最近我用的一些文件跟文档,它都会在这里显示出来。

然后还有一个可以根据文件夹内文件列表时间的进行排序,查找可疑的文件,也可以搜索指定的日期,搜索它的日期,根据日期来搜索可疑的文件,还有就是我们可以查看文件的时间、创建时间、修改时间和访问时间。有一些黑客的工具的话,例如菜刀类的工具,改变的话,它改变里面只是改变的是修改时间。如果我们看到里面的修改时间,在创建时间之前的话,很明显这个就是可疑的文件,看这里修改时间是2017年,然后创建时间是2018年。

第二部分是进程的排查,对于进程排查的话有很重要的一个命令,就是netstat。这个命令natstat这个是查看目前网络连接的状态的一个命令,是比较重要的一个命令。它加了-a是显示所有网络连接路由表,还有网络接口,是以数字形式显示地址和端口号,加o是显示于每个进程的ID,我们一般就会加amo这三个加起来就是一般的使用方法。

还有接下来一条命令就是从他的进程名定位到这个进程的全路径。就是我们刚才已经可疑的外部链接,然后定位到一个PID然后再从pid定位到是哪个进程,现在就从哪个进程定位到它这个进程是在哪里来的,它的路径在哪里,就用这条命令,例如我想定位这条,还是以刚才那个为例子,刚才这里我想定位一下它这个进程它到底在哪里,数据然后管道查找这个进程svchost的进程它到底在哪,然后他出来的信息有点多,查找他,然后他的路径在这里,这个进程有的问题就像这个图片所说的,你看用这个查找的话,它就会显示出它的全路径出来。

然后还有一个办法,我们就是在任务管理器里面右击打开文件,然后定位到它的它的全路径,这里进程,然后右击,然后我们打开所在的文件,然后就可以定位它到底在哪里了。还有一些启动项的枚举和计划任务的枚举,现在还到了案例演示了,我们这个案例就是从刚才的几条命令开始说起。这个命令来筛选出所有已经建立连接的网络连接,定位出哪个是可疑的IP,可疑的PID,然后定位它出来这个 Pid之后,我们就可以利用这个命令来查找这个PID的进程。

分享: