windows系统排查-文件分析

Windows分析排查介绍：

分析排查是指对Windows系统中的文件、进程、系统信息、日志记录等进行检测，挖掘Windows系统中是否具有异常情况。

目的在于:保护Windows系统安全

文件分析-开机启动文件

一般情况下，各种木马、病毒等恶意程序，都会在计算机开机启动过程中自启动。
在Windows系统中可以通过以下三种方式查看开机启动项:

1、利用操作系统中的启动菜单

C:\Users \Administrator\AppData\RoamingMicrosoft\Windows\Start Menu\ProgramsiStartup

如果上述位置中存在.exe文件，可能为木马程序

2、利用系统配置msconfig

3、利用注册表regedit

HKEY_CURRENT_USERS/software/Microsoft/Windows/CurrentVersion/Run

文件分析-temp临时异常文件

temp（临时文件夹)，位于C:\Documents and Settings\AdministratorLocal Settings\内。很多临时文件放在这里，用来收藏夹，浏览网页的临时文件，编辑文件等。
使用运行输入%temp%可以直接打开temp文件夹

查看temp文件夹发现PE文件(exe、dll、sys)，或者是否具有特别大的tmp文件。
将文件上传到 https://www.virustotal.com/进行查看，是否为恶意代码。

文件分析-浏览器信息分析

在被黑客拿下的服务器，很有可能会使用浏览器进行网站的访问。因此我们可以查看浏览器记录查看，探索浏览器是否被使用下载恶意代码。

浏览器浏览痕迹查看

可以选择专门的工具来查看浏览器的浏览记录

浏览器文件下载记录查看

可以选择专门的工具来查看浏览器的下载记录

浏览器Cookie信息查看

可以选择专门的工具来查看浏览器的Cookie信息

工具下载地址: NirLauncher - Download the latest package

文件分析-文件时间属性分析

在Windows系统下，文件属性的时间属性具有:创建时间、修改时间、访问时间（默认情况下禁用).默认情况下，计算机是以修改时间作为展示。

如果修改时间要早于创建时间那么这个文件存在很大可疑???使用中国菜刀等工具修改的修改时间，通过文件属性可以查看到创建时间、修改时间、访问时间。

文件分析一最近打开文件分析

Windows系统中默认记录系统中最近打开使用的文件信息。

可以在目录 C:\Documents and Settings \Administrator\Recent 下查看，也可以使用 win+R打开运行，输入%UserProfile%/Recent查看。然后利用Windows中的筛选条件查看具体时间范围的文件。

可以根据修改日期类型就行筛选。

进程分析-可疑进程发现与关闭

计算机与外部网络通信是建立在TCP或UDP协议上的，并且每一次通信都是具有不同的端口(0~65535)。如果计算机被木马后，肯定会与外部网络通信，那么此时就可以通过查看网络连接状态，找到对应的进程D，然后关闭进程ID就可以关闭连接状态。

-netstat -ano | find “ESTABLISHED” 查看网络建立连接状态

当我们在浏览器中打开一个网页后，再次查看网络连接状态

tasklist /svc | find “PID” 查看具体PID进程对应的程序

-taskkill /PID pid值 /T 关闭进程

这儿可以用命令来关闭，也可以使用任务管理器来关闭

系统信息-Windows计划任务

在计算机中可以通过设定计划任务，在固定时间执行固定操作。一般情况下，恶意代码也有可能在固定的时间设置执行。

使用schtasks.exe命令可以对计划任务进行管理，直接输入schtasks.exe可以查看当前计算机中保存的计划任务。

当然也可以在可视化的计划任务管理中进行管理。

系统信息-隐藏账号发现与删除

隐藏账号，是指“黑客”入侵之后为了能够持久保持对计算机访问，而在计算机系统中建立的不轻易被发现的计算机账户。

最为简单的隐藏账户建立: net user test$ test /add && net localgroup administrator test$ /add其中$符号可以导致系统管理员在使用net user时无法查看到test$用户

恶意进程一发现与关闭·

恶意代码在Windows系统中运行过程中，将以进程的方式进行展示。其中恶意进程执行着各种恶意行为。

对于可执行程序，可直接使用杀毒软件进行查杀，但是并非所有的恶意程序能够被查杀。此时可以手动查杀，使用工具 psexplore，然后利用virustotal.com进行分析。对恶意程序相关的服务进行关闭。

系统信息-补丁查看与更新

Windows系统支持补丁以修补漏洞。可以使用systeminfo查看系统信息，并展示对应的系统补丁信息编号。也可以在卸载软件中查看系统补丁和第三方软件补丁。

在Win10中使用快捷键win+I 然后选择windows更新。其他版本的Windows也具有Windows Undate相关选项,可以进行更新操作。

网站Webshell查杀

【D盾_防火墙】专为IIS设计的一个主动防御的保护软件,以内外保护的方式防止网站和服务器给入侵,在正常运行各类网站的情况下，越少的功能，服务器越安全的理念而设计!限制了常见的入侵方法,让服务器更安全!http://www.d99net.net/