windows系统排查-文件分析
Windows分析排查介绍:
分析排查是指对Windows系统中的文件、进程、系统信息、日志记录等进行检测,挖掘Windows系统中是否具有异常情况。
目的在于:保护Windows系统安全
文件分析-开机启动文件
一般情况下,各种木马、病毒等恶意程序,都会在计算机开机启动过程中自启动。
在Windows系统中可以通过以下三种方式查看开机启动项:
1、利用操作系统中的启动菜单
C:\Users \Administrator\AppData\RoamingMicrosoft\Windows\Start Menu\ProgramsiStartup
如果上述位置中存在.exe文件,可能为木马程序
2、利用系统配置msconfig
3、利用注册表regedit
HKEY_CURRENT_USERS/software/Microsoft/Windows/CurrentVersion/Run
文件分析-temp临时异常文件
- temp(临时文件夹),位于C:\Documents and Settings\AdministratorLocal Settings\内。很多临时文件放在这里,用来收藏夹,浏览网页的临时文件,编辑文件等。
- 使用运行输入%temp%可以直接打开temp文件夹
- 查看temp文件夹发现PE文件(exe、dll、sys),或者是否具有特别大的tmp文件。
- 将文件上传到 https://www.virustotal.com/进行查看,是否为恶意代码。
文件分析-浏览器信息分析
在被黑客拿下的服务器,很有可能会使用浏览器进行网站的访问。因此我们可以查看浏览器记录查看,探索浏览器是否被使用下载恶意代码。
- 浏览器浏览痕迹查看
可以选择专门的工具来查看浏览器的浏览记录
- 浏览器文件下载记录查看
可以选择专门的工具来查看浏览器的下载记录
- 浏览器Cookie信息查看
可以选择专门的工具来查看浏览器的Cookie信息
工具下载地址: NirLauncher - Download the latest package
文件分析-文件时间属性分析
在Windows系统下,文件属性的时间属性具有:创建时间、修改时间、访问时间(默认情况下禁用).默认情况下,计算机是以修改时间作为展示。
如果修改时间要早于创建时间那么这个文件存在很大可疑???使用中国菜刀等工具修改的修改时间,通过文件属性可以查看到创建时间、修改时间、访问时间。
文件分析一最近打开文件分析
Windows系统中默认记录系统中最近打开使用的文件信息。
可以在目录 C:\Documents and Settings \Administrator\Recent 下查看,也可以使用 win+R打开运行,输入%UserProfile%/Recent查看。然后利用Windows中的筛选条件查看具体时间范围的文件。
可以根据修改日期类型就行筛选。
进程分析-可疑进程发现与关闭
计算机与外部网络通信是建立在TCP或UDP协议上的,并且每一次通信都是具有不同的端口(0~65535)。如果计算机被木马后,肯定会与外部网络通信,那么此时就可以通过查看网络连接状态,找到对应的进程D,然后关闭进程ID就可以关闭连接状态。
- -netstat -ano | find “ESTABLISHED” 查看网络建立连接状态
当我们在浏览器中打开一个网页后,再次查看网络连接状态
- tasklist /svc | find “PID” 查看具体PID进程对应的程序
- -taskkill /PID pid值 /T 关闭进程
这儿可以用命令来关闭,也可以使用任务管理器来关闭
系统信息-Windows计划任务
在计算机中可以通过设定计划任务,在固定时间执行固定操作。一般情况下,恶意代码也有可能在固定的时间设置执行。
使用schtasks.exe命令可以对计划任务进行管理,直接输入schtasks.exe可以查看当前计算机中保存的计划任务。
当然也可以在可视化的计划任务管理中进行管理。
系统信息-隐藏账号发现与删除
隐藏账号,是指“黑客”入侵之后为了能够持久保持对计算机访问,而在计算机系统中建立的不轻易被发现的计算机账户。
最为简单的隐藏账户建立: net user test$ test /add && net localgroup administrator test$ /add其中$符号可以导致系统管理员在使用net user时无法查看到test$用户
恶意进程一发现与关闭·
恶意代码在Windows系统中运行过程中,将以进程的方式进行展示。其中恶意进程执行着各种恶意行为。
对于可执行程序,可直接使用杀毒软件进行查杀,但是并非所有的恶意程序能够被查杀。此时可以手动查杀,使用工具 psexplore,然后利用virustotal.com进行分析。对恶意程序相关的服务进行关闭。
系统信息-补丁查看与更新
Windows系统支持补丁以修补漏洞。可以使用systeminfo查看系统信息,并展示对应的系统补丁信息编号。也可以在卸载软件中查看系统补丁和第三方软件补丁。
在Win10中使用快捷键win+I 然后选择windows更新。其他版本的Windows也具有Windows Undate相关选项,可以进行更新操作。
网站Webshell查杀
【D盾_防火墙】专为IIS设计的一个主动防御的保护软件,以内外保护的方式防止网站和服务器给入侵,在正常运行各类网站的情况下,越少的功能,服务器越安全的理念而设计!限制了常见的入侵方法,让服务器更安全!http://www.d99net.net/
windows系统排查-文件分析相关推荐
- 计算机中文件访问时间是什么情况,【反计算机取证必看】Windows系统中文件时间属性的变化及影响因素.pdf...
[反计算机取证必看]Windows系统中文件时间属性的变化及影响因素.pdf ·技术交流· Windows系统中文件时间属性的变化及影响因素 滕冲1,方靖然2,张国臣3(1.中国人民公安大学,北京 3 ...
- Ubuntu系统与Windows系统的文件实现相互复制
在安装Ubuntu系统后发现与Windows系统的文件不能相互复制,网上查了很多教程,发现都是不能用的,能实现的方法如下所示: 第一步: sudo apt-get autoremove open-v ...
- W ndowS无法自动修此计算机,系统引导怎么修复?电脑手动修复Windows系统引导文件...
我们在使用Windows系统的时候,经常会遇到一些系统问题.有时候系统引导文件丢失,导致电脑完成正常启动,这种时候可以通过外置工具来修复引导.不过Windows系统中也有手动修复引导的工具.那么下面就 ...
- C语言给文件添加备注信息,windows 系统给文件添加备注(FileMetadata下载及使用教程)...
windows 系统给文件添加备注,网上说的都是使用软件 FileMeta,但原理和教程说的不清楚,我就整理下. 原理及步骤 Windows的文件信息自带备注功能,备注可查看可编辑. 但Windows ...
- windows系统复制文件到c盘提示0X80070522错误 无法复制文件到系统盘
windows系统复制文件到c盘提示0X80070522解决方法: 打开powershell 执行 icacls c:\ /setintegritylevel M 命令
- Windows系统给文件加上备注信息
最近因为工作需要,一直在找一个可以给文件添加备注信息的小工具,但是一直没有找到我所需要的简单的备注工具,要么是需要附加文本文档,不够直观,要么就是用其他的资源管理器,更不方便. 直到看到这篇文章 wi ...
- windows系统给文件夹添加备注(详细版)
windows系统给文件夹添加备注(详细版) 关于我 愤青持续码字中,每周三准时更新 每篇文章博主都会仔细来回阅读,语文不好,发现有语法错误,麻烦评论留言,一定改. 著作权归作者所有.商业转载请联系作 ...
- 应急响应-----Windows系统排查(学习笔记)
** 1.windows应急响应事件分类 ** Windows 系统的应急事件,按照处理的方式,可分为下面几种类别: 病毒.木马.蠕虫事件 Web 服务器入侵事件或第三方服务入侵事件 系统入侵事件,如 ...
- 严重的 BootHole 漏洞影响所有 Linux 发行版和 Windows 系统(详细分析)
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 Eclypsium 公司发现,GRUB2 引导程序 (bootloader) 中存在"BootHole" 漏洞,导 ...
- windows XP系统内核文件分析(ZHUAN)
1当然, 精简系统是要付出代价的. 不要贪得无厌, 免得系统坏了修不好啊. Windows XP个别 System32 文件 System32 文件夹下个别要移除的文件 我们就要删除另外600 个 ...
最新文章
- linux下用js生成xml,js2xml:将javascript字符串转换为xml
- 对阿里云服务器(数据盘已分区并格式化)的数据盘进行扩容
- AWS Storage Gateway 分类
- superset 时区问题Timestamp subtraction must have the same timezones or no timezones
- java 方法 示例_Java语言环境getISOCountries()方法与示例
- springmvc+mongodb+maven 项目搭建配置
- java画虚线_在java中绘制虚线
- ESP8266固件烧录
- 吾爱电脑数据恢复工具箱 v 2.0
- C++函数free和delete如何操作指针?
- 在linux里如何建立一个快捷方式,连接到另一个目录
- Flutter TextField 限制只允许输入数字,字母,小数,设置限制小数位数
- 【ML小结3】线性回归与逻辑回归、softmax回归
- 悉尼大学BUSS6002Assignment1课业解析
- 第十二章:如何制定里程碑
- scanf提取gprmc数据
- 重庆思庄-[Oracle] SYSAUX表空间WRH$表的清理
- C语言多文件编译的精神内核-讲透多文件编译攻略
- \node_modules\node-sass\build\src\libsass.vcxproj(20,3): error MSB4019: 未找到导入的项目“D:\Microsoft.Cpp.De
- 周易六十四卦——山泽损卦
热门文章
- python把中文转英文_python自动化测试——中文转拼音,转英文
- CentOS7.4通过ssh连接到服务器的时候特别慢
- matlab突然打不开的解决办法
- 【python】教你使用seLeniun爬取淘宝商品数据(内含完整源码)
- 玩转opencv之有趣的调色板
- docker部署分布式应用_Docker服务,堆栈和分布式应用程序捆绑
- Vivado IP核fifo使用指南
- 科学家量子计算机时间倒流,科学家用量子计算机让“时间倒流”?并没有真的做到...
- 【java学习】面向对象编程(一)【详解篇13】
- 定义方法-求矩形的面积