护⽹蓝队基础技术总结Windows
开机启动⽂件检测
有些病毒⽊马喜欢藏在⼀些系统⽂件⾥,然后开机后随着系统⽂件的启动⽽运⾏⽊马程序。
1、查看启动菜单:
C:\Users\leo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
2、运⾏执⾏msconfig命令
3、查看注册表⾃启动配置
Win10⾃启动注册表如下:
计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
win7⾃启动注册表如下:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Temp临时⽂件异常
有些PE(exe,dll,sys)⽂件会隐藏在Temp⽂件⽬录⾥,还有⼀些⽐较⼤的TMP⽂件,这些都是⽐较可疑的,然后将可疑的⽂件发到检测病毒的⽹站
Temp⽂件⽬录如下:
C:\Users\leo\AppData\Local\Temp
可以在运⾏⾥搜索%temp%直接跳转到temp⽬录
浏览器信息分析
可以通过分析浏览器的⼀些信息来判断服务器是否被⿊客⼊侵了
1、分析浏览器的浏览记录,可以使⽤browserhistoryview⼯具进⾏查看
2、分析浏览器的下载记录,可以使⽤browserdownloadview⼯具进⾏查看
3、分析浏览器的cookie信息,可以使⽤IEcookieview⼯具进⾏查看
⽂件时间属性分析
ssh命令指定端口⽂件的创建时间永远是早于或等于修改时间,如果修改时间早于创建时间,就说明该⽂件⼗分可疑,因为⼀些webshell管理⼯具是可以修改⽂件的修改时间的
⽂件打开时间分析
可以通过最近打开过的⽂件来分析是否含有病毒或者⽊马程序,Recent⽬录⾥含有最近打开过的⽂件,⽬录地址如下
C:\Users\leo\Recent
在cmd使⽤find命令可以快速查询到含有指定内容的⽂件
分析可疑进程
如果计算机被种植了⽊马,那么⽊马肯定会与外部进⾏通信,每⼀次通信都会有不同的端⼝,所以可以通过⽹络连接状态来查到⽊马的程序,以下是对进程操作的cmd命令。
netstat -ano | find "ESTABLISHED"查看已建⽴的⽹络连接,可以通过⾮寻常的端⼝来确认可疑程序,443,80端⼝⼤部分都为正常
tasklist /SVC | find "12760"列出指定pid的任务进程,/svc是列出所有的进程任务
taskkill /pid 12760 /F /T强制终⽌指定pid进程
分析Windows计划任务
⿊客会经常给受害机设置计划任务来维持⽊马持久化
创建任务计划的命令如下:
schtasks /create  /tn test /sc DAILY /st 23:18 /tr C:\\ /F
任务计划可以通过at命令进⾏查询,也可以通过任务计划程序(可视化界⾯)查看
分析隐藏账户
在计算机建⽴隐藏账户来维持对其的控制权限,使⽤net user命令也查询不到隐藏账户,以下是建⽴隐藏账户的cmd命令,你可以在⽤户管理界⾯将隐藏账户进⾏删除或者修改其权限
net user test$ qQ123456 /add添加⽤户
net user localgroup administrators test$ /add添加管理员

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。