一、如何找到恶意文件
- 检查网络连接 netstat -ano,如有恶意对外连接需要注意哦,特别是挖矿、对外暴力破解。
- 根据PID找到进程
tasklist | findstr "$PID" 或 wmic process get name,executablepath,processid | findstr $PID
$PID为可以进程的PID号
- 找到恶意文件
(1)利用任务管理器和CMD命令行手工找恶意文件
- 任务管理器 taskmgr
- 服务 services.msc
(2)进程分析神器PC Hunter (www.xuetr.com ) 没有发布方签名的、名字/路径异常的都可能是可以进程 (3)进程分析神器Process Explore https://technet.microsoft.com/en-us/sysinternals/bb896653/ (4)简单粗暴:360安全卫士***全盘查杀
关于PC Hunter和Process Explore,我会在其他篇章中具体介绍。
- 找到可以文件后将其上传到***鉴别网站
- 微步在线:https://x.threatbook.cn/
- virustotal:www.virustotal.com
二、日志分析
1.windows自带日志管理器:eventvwr 2.日志分析神器splunk
- 查找关键时间点是否存在爆破登录记录
- 是否存在异地异常成功登录记录
- 确认远程登录账户是否存在弱口令
Event ID:4722创建用户 Event ID:4624RDP登录成功 Event ID:7045注册为windows服务
关于windows登录成功的日志和借助Splunk分析将会在其他篇章中介绍。
三、其他辅助手段
1.查看用户 net user 2.检测否是弱密码 https://password.kaspersky.com/ 3.性能监视器 perfmon.msc 4.资源监视器 resmon.exe 5.注册表 regedit.exe 6.组策略 gpedit.msc 7.Wndows更新检查
- 2008:控制面板\所有控制面板项\Windows Update
- 2012:控制面板\所有控制面板项\Windows 更新\查看更新历史记录"
8.查看计划任务
a) Windows server 2008 运行at b) Windows server 2012 运行schtasks.exe
9.云服务商一般都会提供态势感知服务,借助IDS/WAF/安全防护日志辅助分析
