您当前的位置:首页 > 电脑百科 > 安全防护 > 黑客技术

Windows上机取证检查

时间:2021-08-16 13:50:53  来源:  作者:白帽子黑客笔记

为什么要取证

Windows上机取证检查

 

附录2:取证思路

Windows上机取证检查

 

附录3:取证分析纲要

Windows上机取证检查

 

注:在上机取证的同时应该对操作的每个步骤进行截图保存,方便作为后续写报告的依据。

 

一、网络、进程检测

Windows上机取证检查

 

通过网络连接情况和程序进程对主机进行检测取证,直接定位出可疑文件。

 

1.1、网络情况查看

 

1.1.1 网络连接查看

使用netstat -ano查看当前所有的网络连接。通过对IP地址查看定位异常请求。

Windows上机取证检查

 

通过pid定位程序位置:wmic process |findstr pid

Windows上机取证检查

 

1.1.2 木马心跳或网络请求查看

可以使用LiveTcpUdpWatch对网络情况进行查看(可后台运行半小时查看结果),该软件能记录DNS请求(用于捕捉木马心跳—非持续性连接的网络进程),网络连接等情况,通过远程连接IP(流量获取或者其他途径)定位到木马的PID,结合PChunter或任务管理器进行木马定位。

Windows上机取证检查

 

1.1.3 全局流量查看

若有需要可以使用Wireshark对当前网络流量进行监控,主要是尽可能多的收集攻击者信息和潜在的木马连接信息。

Windows上机取证检查

 

1.2 进程检测

注意点:不建议使用任务管理器进行系统进程检查,因为可供分析的维度较少,且容易被进程名欺骗,操作系统允许相同名称但不同执行路径的进程同时存在。

查看本机所有进程建议使用PCHunter进行查看,信息比较全,可以同时看到进程名称和程序路径。

Windows上机取证检查

 

若不方便使用外部工具可以使用wmic命令查看进程信息:

wmic process get caption,commandline,creationDate,executablepath,handle,handleCount

在cmd命令行中复制以上命令并回车执行。

Windows上机取证检查

 

打开C:yanlianprocess.txt,可看到6列内容,含义如下所示:

  •  caption:进程名;
  •  commandline:进程名、程序执行路径、进程执行参数;
  •  creationDate:进程启动时间(格式为:年月日时分秒);
  •  executablepath:程序执行路径;
  •  handle:进程pid;
  •  handleCount:该进程的父进程pid。

可根据进程名、进程执行参数、进程启动时间、程序执行路径判断是否存在异常,并根据异常点进行深入分析。

Windows上机取证检查

 


Windows上机取证检查

 

1. 3 DLL劫持检测

 

木马程序通过服务、dll、com均可劫持注入到程序中启动。

示例:以svchost及dll劫持为例:

svchost.exe主要作用是将动态链接库(后缀为.dll的文件)以服务的方式运行。svchost.exe对系统的正常运行非常重要,是不能被结束的。

注意点:

  •  在入侵检查方向,更倾向于将svchost.exe作为一个单独的持久化检查项目,而非系统服务,因为检查方法完全不同;
  •  同时svchost.exe不作为常规检查项,一般根据【现象检查】的结果寻找恶意程序。

 

存在异常监听端口,pid指向svchost.exe程序,需检查是否存在异常。通过第三方工具ProcessExplorer(简称pe)检查svchost.exe程序。

示例:

通过检查已监听端口,发现“异常”监听,pid指向800。

Windows上机取证检查

 

打开任务管理器,发现pid 800是svchost.exe程序,由于该程序的特性,需使用第三方工具pe进行检查。

Windows上机取证检查

 

通过pe工具可发现pid 800是由服务启动,根据启动路径可发现该程序是由正常路径启动,但程序是否被替换未知,启动的服务是netsvcs(小白杀手,当初虐了我n久),该服务下挂12个子服务。

Windows上机取证检查

 

在pe中双击该程序,点击【tcp/ip】,可发现49154端口是服务schedule监听。

Windows上机取证检查

 

点击【services】,可发现schedule服务启动的动态链接库绝对路径是c:windowssystemc32schedsvc.dll,从而发现49154端口是哪个程序正在监听。

Windows上机取证检查

 

通过点击pe的功能菜单模块(下图的齿轮图标)【view handles】可显示该程序所调用的clsid。

Windows上机取证检查

 

如存在启动、点击某个程序后恶意进程重新启动的情况,则可以对com劫持进行检查。

Windows上机取证检查

 

通过点击【view dlls】可显示该程序所调用的dll文件。

Windows上机取证检查

 

也可以通过排序可直观的看到是否存在dll劫持。

Windows上机取证检查

 

1.4 进程注入检测

 

进程注入是一种广泛使用的躲避检测的技术,通常用于恶意软件或者无文件技术。其需要在另一个进程的地址空间内运行特制代码,进程注入改善了不可见性,同时一些技术也实现了持久性。

进程注入检测通常情况需要对主机的网络情况进行检测发现,可以使用livetcpudpwatch工具进行监测。

Windows上机取证检查

 

通过其异常请求的pid,利用Process Explorer对该PID进行查看,并使用将该线程内存dump出来。

使用Process Explorer查看PID进程需要等待一段时间,当木马发起网络请求时才会出现以下TCP/IP信息。

Windows上机取证检查

 

使用strings、IDA或者其他内存分析工具进行线程分析。

Windows上机取证检查

 

二、可疑用户操作检测

Windows上机取证检查

 

2. 1 用户检测

 

  1. 异常用户的创建,登陆,删除(操作留在后面单独讲解)
  2. 正常用户的异常登陆,操作。
  3. 隐藏账户检测

wmic useraccount get name,SID

可以检测出影子用户和注册表隐藏的用户(net user命令搜索容易漏过这些特殊用户):

Windows上机取证检查

 

查看管理员分组有哪些用户 net localgroup administrators:

Windows上机取证检查

 

查看xxx用户的创建时间和上⼀次登陆时间net user xxx

Windows上机取证检查

 

进入C:/Users ⽂件夹,查看哪些用户登陆了系统,以及黑客没有清理干净的恶意用户。

Windows上机取证检查

 

进入C:Users%UserName%AppDataRoamingMicrosoftWindowsRecent

文件夹,查看当前用户最近的操作记录(可执行程序的执行情况不会被记录)

Windows上机取证检查

 

2.2 登陆检测

 

1. 什么时间谁连接了被黑主机

2. 什么时间被黑主机连接了谁

注意点:主机日志默认记录20Mb,达到最大值时优先覆盖旧事件,同时网络安全法要求日志至少保存6个月以上。

分远程桌面连接和IPC连接两种方式讨论。

远程桌面连接方式:

针对要点1,可以使用WinLogView工具,会列出系统中所有曾经登陆过的主机,包含本地登陆和远程登陆,针对原有的用户需要注意用户的登陆时间段是否在工作时间段内。(LogonType:10 表示远程登陆,2 表示本地登陆)。

Windows上机取证检查

 

针对要点2,可以使用查看注册表HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault(有空格,注意引号扩起来)展示最近10次本机成功建立的RDP连接。

Windows上机取证检查

 

IPC连接方式:

针对要点1,查看Windows安全日志,查找4624,登陆类型为3而且源网络地址不是来自于127.0.0.1的安全事件。

Windows上机取证检查

 


Windows上机取证检查

 


Windows上机取证检查

 

其实在这里登陆类型为 10 表示的是 RDP 登陆

也可以通过FullEventLogView批量加载主机日志,然后通过4624等时间ID进行日志筛选,相对主机直接查看日志更直观。

Windows上机取证检查

 

针对要点2,可以通过注册表进行查看

HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerTypedPaths

Windows上机取证检查

 

2.3 文件检测

 

2.3.1 近期操作文件

  1. 近期的可执行文件操作
  2. 近期的文件操作
  3. 近期的浏览器操作

利用AppCompatCacheParser工具检查近期的可执行文件操作(由于该记录以非文本方式保存在注册表中,很多攻击者不会清理该文件夹):

Windows上机取证检查

 


Windows上机取证检查

 

根据时间倒叙,重点排查近期或者被攻击时间段的程序执行记录。

近期的文件操作可以直接使用lastactivityview方便查看,优点是收集的信息很完整,可以导出html

Windows上机取证检查

 

注意,进行C:/User/xxx/Recent目录也能看到用户最近频繁操作的一些文件,但并不是所有操作,信息不够全面

近期所有浏览器的操作记录使用BrowsingHistoryView⼀并查看,可以根据时间短对记录进行筛选。

Windows上机取证检查

 

2.3.2人工检查目录

这些路径经常作为攻击者内网渗透的临时工作目录,以及木马启动、解压路径可以重点检查。

C:Perflogs

C:Perflogsadmin

C:ProgramData

C:UsersPublic

C:Users当前用户

C:WindowsTemp

C:Users当前用户AppDataRoaming

C:Users当前用户AppDataLocalTemp

C:Users当前用户AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup

C:ProgramDataMicrosoftWindowsStart MenuProgramsStartUp

 

2.3.3 黑客工具

  1. 木马文件
  2. Webshell文件
  3. 黑客工具
  4. HTTP隧道

使用恶意软件全盘扫描工具比如睿眼主机取证溯源系统【商业化产品对系统进行全盘扫描,能探测出木马文件和黑客工具的所在位置。

Windows上机取证检查

 

进入对应的文件夹查看有无其他黑客工具,注意扫描到文件的创建时间,以及该文件对应的创建者信息,可以关联出黑客的作案时间以及黑客用户。

Windows上机取证检查

 


Windows上机取证检查

 

WebShell 文件可以使用D盾Webshell查杀工具

Windows上机取证检查

 

同时记录Webshell的名称,从Web访问日志中关联是否存在HTTP隧道脚本和其他WebShell文件。

 

三、持久化检测

Windows上机取证检查

 

持久化检测主要是检测木马的启动方式等。

 

3.1 启动目录

 

C:Users当前用户AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup

C:ProgramDataMicrosoftWindowsStart MenuProgramsStartUp

 

3.2 注册表启动项

 

开机启动项直接运行msconfig进行查看,简单检查有无未知启动项。

Windows上机取证检查

 

如需要导出分析,使用以下命令将自启动项导出检查。

// 导出当前用户启动项

reg export HKCUSoftwareMicrosoftWindowsCurrentVersionRun c:yanlianautorun1.reg

// 导出系统启动项

reg export HKLMSoftwareMicrosoftWindowsCurrentVersionRun c:yanlianautorun2.reg
reg export HKLMSoftwareMicrosoftWindowsCurrentVersionRunonce c:yanlianautorun3.reg

示例:

输入命令将自启动项配置文件导出。

Windows上机取证检查

 

检查导出的自启动项配置是否存在异常。

Windows上机取证检查

 

3. 3 开机启动脚本

 

运行 gpedit.msc 查看组策略:

Windows上机取证检查

 

3.4 计划任务

 

计划任务直接使用AutoRuns 进行检测,根据 ImagePath 配合 Publisher 判断是不是木马程序。

Windows上机取证检查

 

3.5 映像劫持检测(Shift后门)

 

通过AutoRuns的ImageHiJack进行检测,被替换的setch.exe 会直接显示出来。

另外可以对程序提交VT进行检测:

Windows上机取证检查

 


Windows上机取证检查

 

根据VT的评分判定是否可能是木马程序。

 

3.6 环境变量检测

 

环境变量用于将系统路径变量化,如被黑客利用则会以最高权限运行恶意程序,例如将环境变量%systemroot%变更为其他路径,同时建立system32文件夹并将恶意程序通过服务启动。

注意点:环境变量%systemroot%修改后需进行恢复,否则系统无法正常重启。使用set命令将环境变量导出检查。

示例:

输入命令将环境变量配置文件导出。

Windows上机取证检查

 

检查导出的环境变量配置是否存在异常。

Windows上机取证检查

 

3.7 系统服务检测

 

查看本机所有的服务可以使用AutoRuns ,好处比较清晰列出了进程可执行程序路径和证书信息,此外还可以联动VT ,直接云判断(点击Option-Scan Option调用VT)可执行程序是否是恶意程序。



Tags:Windows   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
一、前言有朋友问:怎么才能让Windows电脑与iPhone方便的交换文件,我的解决方案是:利用Documents By Readdle 来完成Windows 11 与 iPhone / iPad 互传文件。苹果电脑与手机间通...【详细内容】
2021-12-27  Tags: Windows  点击:(0)  评论:(0)  加入收藏
在windows使用中通常会需要命令脚本下载文件。这里记录了几种在cmd下不需要其他三方程序就可以直接下载文件的方法。1.certutil certutil -urlcache -split -f https://www....【详细内容】
2021-12-27  Tags: Windows  点击:(2)  评论:(0)  加入收藏
电脑已成为我们生活的一部分,那么怎么激活Windows系统呢?以下分享一招可以永久激活Win10电脑系统,只需要两行代码即可。首先按键盘上的“Win+R“键调出运行框,然后在运行框中输...【详细内容】
2021-12-20  Tags: Windows  点击:(24)  评论:(0)  加入收藏
转自: https://kermsite.com/p/wt-ssh/由于格式问题,部分链接、表格可能会失效,若失效请访问原文密码登录 以及 通过密钥实现免密码登录Dec 15, 2021阅读时长: 6 分钟简介Windo...【详细内容】
2021-12-17  Tags: Windows  点击:(16)  评论:(0)  加入收藏
微软的Windows开发团队今天发布了Windows 11 2021年的最后一个更新版本:Windows 11 Insider Preview Build 22523,目前该版本可供Insiders使用,并进行了许多改进和修复。该公司...【详细内容】
2021-12-17  Tags: Windows  点击:(19)  评论:(0)  加入收藏
使用关联/反关联性规则,在几个版本中,可以管理哪些 VM 应保留在同一主机上,哪些 VM 应保持独立(例如虚拟化域控制器)。但是,它们不是站点感知的,如果你已经扩展了群集,现在有PowerS...【详细内容】
2021-12-10  Tags: Windows  点击:(41)  评论:(0)  加入收藏
Windows11都出来了,XP和Windows7真的被淘汰了吗,很显然并不会,系统有很多分类就不一一介绍了,以Windows系列系统举例,最初XP系统也是分代的,后来WIN7出现在了大众的视线,因为普遍的...【详细内容】
2021-12-09  Tags: Windows  点击:(18)  评论:(0)  加入收藏
今天有朋友问,在不用U盘,不用光盘的情况下,怎么快速给100台电脑装系统?还有一种情况,本地没有IT人员,都是远程支持,如果电脑发生故障,怎么让没有电脑基本知识的用户自己安装系统,IT只...【详细内容】
2021-12-08  Tags: Windows  点击:(19)  评论:(0)  加入收藏
有使用windows8的过程中,有些网友遇到了无法上网的问题,提示windows8笔记本连接wifi受限怎么办.导致这个问题的原因有多种,下面小编就教下大家windows8笔记本连接wifi受限的...【详细内容】
2021-12-08  Tags: Windows  点击:(16)  评论:(0)  加入收藏
今天教大家通过windows的CMD终端查看WIFI密码 使用管理权限打开CMD 查看本机连接过WIFI名称netsh wlan show profiles 查询某一个WIFI的密码比如这里我想查询猪猪侠的...【详细内容】
2021-12-08  Tags: Windows  点击:(18)  评论:(0)  加入收藏
▌简易百科推荐
一、背景介绍作为一名渗透测试工作人员(或者小白),在我们的日常工作或者学习中,我们不可能时时刻刻将自己的个人电脑(安装好Kali Linux的个人主机)带在身边,当我们没有带自己的个人...【详细内容】
2021-12-27  Kali与编程    Tags:Kali Linux   点击:(2)  评论:(0)  加入收藏
我们都知道公司网络中开放的端口越多,遭受网络攻击的可能性就越大,就越容易发生数据泄露事件。 在这篇文章中,我们将讨论与开放端口相关的网络安全隐患。 网络中的端口 据统计...【详细内容】
2021-12-10  诺必达云服务    Tags:端口扫描   点击:(33)  评论:(0)  加入收藏
一、背景介绍DirBuster是用来探测web服务器上的目录和隐藏文件的。因为DirBuster是采用java编写的,所以运行前要安装上java的环境。 来看一下基本的使用: ①:TargetURL下输入要...【详细内容】
2021-12-07  Kali与编程    Tags:Dirbuster   点击:(27)  评论:(0)  加入收藏
#本文仅用于网络安全研究学习任何未经授权的入侵都是违法行为dir 浏览 创建文件 echo 文件内容 > 文件名字.扩展名 浏览文件内容 type 文件名 分页浏...【详细内容】
2021-12-07  WHOAMI    Tags:黑客   点击:(22)  评论:(0)  加入收藏
上一节中我们学了如何实现ARP断网攻击,本节中我们将利用ARP欺骗的原理实现截取目标计算机图片流量,内容包括:ü如何开启ip转发ü怎样截取受害机图片流量 一、开启ip转...【详细内容】
2021-11-23  Kali与编程    Tags:黑客   点击:(22)  评论:(0)  加入收藏
一、背景介绍大家在Linux的日常使用中都晓得如何通过命令行去配置Linux的端口开放规则,但是大家知道如何配置Windows入站出站规则吗?有哪些常见的危险端口呢?如何解决上述问题...【详细内容】
2021-11-15  Kali与编程    Tags:端口   点击:(38)  评论:(0)  加入收藏
1.背景介绍几乎每一个玩渗透的人都会接触到metasploit framework,简称msf。这是一个渗透测试框架,用ruby语言编写的,该框架集成了很多可用的exploit,比如著名的ms08_067等。你可...【详细内容】
2021-11-15  Kali与编程    Tags:服务扫描   点击:(37)  评论:(0)  加入收藏
在前面的课程中,我们学习了ARP攻击的理论和实践知识,知道了怎么进行攻击,这节中我们将学习如何进行防御,内容包括:ü借助第三方软件防御(360安全卫士,腾讯管家等)ü使用arp...【详细内容】
2021-11-13  Kali与编程    Tags:白帽   点击:(32)  评论:(0)  加入收藏
简介在sqlmap基础上增加了目录扫描、hash爆破等功能运行环境 linux 在云服务器上还是蛮不错的项目连接如下https://github.com/s0md3v/sqlmat usage: sqlmate [-h] [--dor...【详细内容】
2021-11-10  暗网视界    Tags:sqlmate   点击:(44)  评论:(0)  加入收藏
一、背景介绍在网上冲浪少不了用到搜索引擎,而很多朋友都习惯把Google视为第一个选择对象。当然Google无论在搜索速度还是结果关联性方面都是十分优秀的。但百度(http://www.b...【详细内容】
2021-11-05  Kali与编程    Tags:白帽黑客   点击:(31)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条