排查思路

• 入侵排查
  • 系统账户排查
    

    查看系统是否存在可疑账号，黑客入侵的时候常常喜欢创建隐藏账号。

  • 进程端口排查
    

    netstat -ano #查看所有网络连接及其PID

  • 启动项的排查
    

    检查服务器是否有异常的启动项，包括：注册表、组策略

  • 计划服务排查
    

    访问“计算机管理”功能，查看“任务计划程序库”，查看是否存在可疑的计划任务

  • 系统信息排查
    

    查看系统版本以及补丁信息（systeminfo）、排查当前用户最近打开文件（%userprofile%\recent）

  • 日志信息排查
    

    Windows 的C:\Windows\System32\winevt\Logs路径下存放了系统各类日志文件、打开“事件查看器”、WEB 访问日志

• 应急工具

  • 病毒分析 ：

    1. PCHunter：http://www.xuetr.com
    2. 火绒剑：https://www.huorong.cnProcess
    3. Explorer：https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer
    4. processhacker：https://processhacker.sourceforge.io/downloads.php
    5. autoruns：https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns
    6. OTL：https://www.bleepingcomputer.com/download/otl/

  • 病毒查杀：

    1. 卡巴斯基（推荐理由：绿色版、最新病毒库）：http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe
    2. 大蜘蛛（推荐理由：扫描快、一次下载只能用1周，更新病毒库）：http://free.drweb.ru/download+cureit+free
    3. 火绒安全软件：https://www.huorong.cn
    4. 360杀毒：http://sd.360.cn/download_center.html

  • 病毒动态：

    1. CVERC-国家计算机病毒应急处理中心：http://www.cverc.org.cn
    2. 微步在线威胁情报社区：https://x.threatbook.cn
    3. 火绒安全论坛：http://bbs.huorong.cn/forum-59-1.html
    4. 爱毒霸社区：http://bbs.duba.net
    5. 腾讯电脑管家：http://bbs.guanjia.qq.com/forum-2-1.html

  • 在线病毒扫描网站：

    1. 多引擎在线病毒扫描网 v1.02，当前支持 41 款杀毒引擎：http://www.virscan.org
    2. 腾讯哈勃分析系统:https://habo.qq.com
    3. Jotti 恶意软件扫描系统:https://virusscan.jotti.org
    4. 针对计算机病毒、手机病毒、可疑文件等进行检测分析:http://www.scanvir.com

  • Webshell 查杀：

    1. D盾_Web查杀：http://www.d99net.net/index.asp
    2. 河马 webshell 查杀：http://www.shellp
• 总结
  

  本文总结了一些 Windows 操作系统的入侵排查与应急响应技术，实际的应急场景中应灵活结合各自排查手段。
  来源：https://www.hackbase.net/security/system/263980.html