关注每一天新的互联网!

Windows主机系统被入侵后取证的方法

下面是在CMD中输入命令的方法:
  1.记录当前时间
  dos命令:dat /t & time /t
  2.记录登录的用户session
  dos 命令:net sessions
  工具:Psloggedon.exe Logonsessions.exe
  3.记录打开的文件
  dos 命令:net file
  工具:psfile.exe open?les.exe
  其它:查看文件打开历史记录
  4.网络信息(netbios cache)
  dos命令:nbtstat -c
  nbtstat -A remoteip
  5.网络当前连接状态
  dos命令:netstat -ano
  6.当前进程状态
  工具:进程管理器 tlist.exe(tlist -m xxx.dll) tasklist.exe pslist.exe listdll.exe processhacker.exe processexplorer.exe
  关注点:进程内存模块 ,进程端口映射
  7.网络
  dos命令:ipconfig /all
  8.剪贴板内容
  找个word,直接粘贴
  工具:Win32::Clipboard()->Get()
  7.服务和驱动信息
  工具:svc.exe
  关注点:服务的异常,异常的驱动
  8.dos命令历史记录
  工具:doskey.exe (doskey /history)
  9.驱动器映射
  工具:di.exe
  10.共享
  关注点:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\lanmanserver\S
  hares
  net share
  11.自动运行
  启动文件夹
  HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLL
  HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\SetupHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Setup
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  HKEY_LOCAL_MACHINE\Software\Classes\Exe?le\Shell\Open\command
  特殊情况:服务劫持,异常服务,pe注入,DLL动持等等,部分内存木马启动后删除自启动,需用到内存分析。
  查看扩展劫持:ftype.exe exefile
  工具:autorun.exe
  12.系统日志
  工具:psloglist.exe dumpevt.exe
  13.浏览器历史记录,和浏览器配置(如自动完成功能被打开,代理等)
  14.文件创建
  利用windows搜索入侵期间的文件创建。
  15.进程内存DUMP和DUMP文件分析
  lspm.pl+bintext3.0
  建议直接用processhacker.exe
  16.注册表分析点
  HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
  Options
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\USBSTOR
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClasses
  HKEY_LOCAL_MACHINE\System\MountedDevices
  Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
  \Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
  \Software\Microsoft\Internet Explorer\TypedURLs
  \Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU
  Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts
  Software\Microsoft\Search Assistant\ACMru
  Software\Microsoft\Windows\CurrentVersion\Explorer\Map Network Drive MRU
  Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
  Software\Microsoft\Windows\CurrentVersion\Explorer\ComputerDescription
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
  SystemRestore
  16.系统安全日志
  工具:Vista Event Viewer
  HKEY_LOCAL_MACHINE\System\ControlSet00x\Services\EventLog\
  dos命令:wevtutil el(查看记录的日志 wevtutil gl logname)
  17.IISLOG 或 ApacheLog
  iislog:W3SVCn,
  apachelog:http.conf中定义(LOGS目录)
  18.软件安装日志
  Setuplog.txt Setupact.log SetupAPI.log Netsetup.log
  19.计划任务日志
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent
  20.XP Firewall Logs
  21.华生医生日志
  C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DrWatson
  22.crash dump 文件
  dump文件+BinText.exe
  23.回收站
  24.PE分析
  bintext.exe 打开
  PELOAD/PEVIEW 分析(关注,IAT表)
  PEID 查壳
  检查PE是否被BIND
  其它:虚拟机动态调试(OD)
  Dumpbin查看API调用等
  25.rootkit
  工具:icesword.exe Helios
  26.hostfile是否被改
  driver/etc/hosts

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址