查看系統是否存在可疑賬號,黑客入侵的時候常常喜歡創建隱藏賬號。
1、使用net user命令查看系統賬戶信息(但此方法不能查看到隱藏賬號):
2、進一步執行命令 net user xx查看 xx 用戶詳細信息,注意 guest 用戶是否啟用,很多情況下狡猾的紅隊并不會添加用戶,而是啟用 guest 用戶:
3、執行命令net user hacker$ 123456 /add創建了一個隱藏的賬號 hacker(賬號名以$結尾的為隱藏賬號),net user是查看不到隱藏賬號的:
4、運行 Win+R--->lusrmgr.msc,通過本地用戶和組的管理頁面(或者“計算機管理”)的可以查看到隱藏賬戶:
尷尬……我的家庭版 Win10 不支持,那改用 Win10 專業版虛擬機:
5、刪除可疑賬戶(net user hacker$ /del):
先匯總下相關命令:
netstat -ano #查看所有網絡連接及其PID
netstat -ano | findstr 443 #過濾特定端口的網絡連接
netstat -ano | findstr TCP #過濾TCP連接
tasklist | findstr 18544 #查看PID為18544的進程
taskkill /F /pid 18544 #強制結束進程1、使用命令netstat -ano查看目前的網絡連接,定位可疑的 ESTABLISHED 連接,執行結果里面的 443 端口的連接一般是瀏覽器正在訪問網頁,但是下面這個外網的 8001 端口的連接就不正常了:
實際上這里是我使用了 CS 的 Backdoor 在 Win10 虛擬機上運行后建立的網絡連接(找到主機一個異常的對外連接,對不確認的 IP 可以去微步查看是否威脅情報):
2、接下來使用tasklist | findstr 3232查找 PID=3232 的進程名稱:
3、上面雖然找到進程名稱,但是無法判斷 Backdoor 文件的路徑,故建議采用另一種方法,Windows+R+輸入msinfo32,打開“系統信息功能”并依次點擊“軟件環境→正在運行任務”就可以查看到進程的詳細信息,比如進程路徑、進程 ID、文件創建日期、啟動時間等:
4、最后應急處置,當然是殺死進程并刪除 Backdoor 文件,執行命令taskkill /F /pid 3232:
此項的目的是檢查服務器是否有異常的啟動項。
檢查方法
1、單擊【開始】>【運行】,輸入 regedit,打開注冊表,查看開機啟動項是否正常,特別注意如下三個注冊表項:
\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce檢查右側是否有啟動異常的項目,如有請刪除,并建議安裝殺毒軟件進行病毒查殺,清除殘留病毒或木馬:
2、檢查組策略,運行 gpedit.msc:
以上是開關機以及用戶登錄注銷時會啟動的腳本,注意查看里面是否存放了惡意腳本。
1、訪問“計算機管理”功能,查看“任務計劃程序庫”,查看是否存在可疑的計劃任務:
2、另一種查看方法是,執行命令schtasks.exe,檢查計算機與網絡上的其它計算機之間的會話或計劃任務,如有,則確認是否為正常連接:
1、查看系統版本以及補丁信息,可執行命令systeminfo,查看系統信息:
2、排查當前用戶最近打開文件,可以在文件管理器輸入%userprofile%\recent,即可查看最近打開的文件 :
系統日志
1、Windows 的C:\Windows\System32\winevt\Logs路徑下存放了系統各類日志文件:
2、雙擊選中 “Securuty” 安全事件日志文件,可進入事件查看器(另一種辦法是 Win+R 打開運行,輸入“eventvwr.msc”,回車運行,直接打開“事件查看器”):
3、可導出應用程序日志、安全日志、系統日志,利用 Log Parser 工具(官網下載地址)進行分析:
LogParser 的一些用法:
基本查詢結構
Logparser.exe –i:EVT –o:DATAGRID "SELECT * FROM c:\xx.evtx"
查詢登錄成功的所有事件
LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM c:\Security.evtx where EventID=4624"
查詢登錄失敗的所有事件
LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM c:\Security.evtx where EventID=4625"
查詢系統歷史開關機記錄
LogParser.exe -i:EVT –o:DATAGRID "SELECT TimeGenerated,EventID,Message FROM c:\System.evtx where EventID=6005 or EventID=6006"WEB 訪問日志
1、分析方法:找到中間件的 web 日志,打包到本地方便進行分析。
2、推薦工具:Window 下,推薦用 EmEditor 進行日志分析,支持大文本,搜索效率還不錯。Linux 下,使用 Shell 命令組合查詢分析。
1、病毒分析 :
PCHunter:http://www.xuetr.com
火絨劍:https://www.huorong.cn
Process Explorer:https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer
processhacker:https://processhacker.sourceforge.io/downloads.php
autoruns:https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns
OTL:https://www.bleepingcomputer.com/download/otl/2、病毒查殺:
卡巴斯基(推薦理由:綠色版、最新病毒庫):
http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe
大蜘蛛(推薦理由:掃描快、一次下載只能用1周,更新病毒庫):
http://free.drweb.ru/download+cureit+free
火絨安全軟件:
https://www.huorong.cn
360殺毒:
http://sd.360.cn/download_center.html3、病毒動態:
CVERC-國家計算機病毒應急處理中心:http://www.cverc.org.cn
微步在線威脅情報社區:https://x.threatbook.cn
火絨安全論壇:http://bbs.huorong.cn/forum-59-1.html
愛毒霸社區:http://bbs.duba.net
騰訊電腦管家:http://bbs.guanjia.qq.com/forum-2-1.html4、在線病毒掃描網站:
多引擎在線病毒掃描網 v1.02,當前支持 41 款殺毒引擎:
http://www.virscan.org
騰訊哈勃分析系統:
https://habo.qq.com
Jotti 惡意軟件掃描系統:
https://virusscan.jotti.org
針對計算機病毒、手機病毒、可疑文件等進行檢測分析:
http://www.scanvir.com 5、Webshell 查殺:
D盾_Web查殺:
http://www.d99net.net/index.asp
河馬 webshell 查殺:
http://www.shellpub.com
深信服 Webshell 網站后門檢測工具:
http://edr.sangfor.com.cn/backdoor_detection.html
Safe3:
http://www.uusec.com/webshell.zip本文總結了一些 Windows 操作系統的入侵排查與應急響應技術,實際的應急場景中應靈活結合各自排查手段。
來源:https://bwshen.blog.csdn.net/article/details/118853955
近日,微軟的Windows操作系統被發現存在一個嚴重漏洞,使得黑客可以通過Wi-Fi入侵用戶的電腦。這個漏洞被稱為"Wi-Fi Pineapple"漏洞,具體來說,黑客利用了Windows 10和Windows 11中的一個安全缺陷,可以通過偽造的Wi-Fi熱點竊取用戶數據并獲取系統權限。
研究人員發現,黑客可以設置一個偽造的Wi-Fi熱點,通過欺騙性名稱和設置,誘導用戶連接。當用戶連接到這個偽造熱點后,黑客可以利用漏洞攔截并篡改用戶的數據通信,甚至植入惡意軟件,從而控制受害者的電腦。據稱,這一漏洞影響范圍廣泛,尤其是在公共Wi-Fi網絡環境中,用戶極易受到攻擊。
微軟已經意識到這一問題,并迅速發布了安全補丁來修復這一漏洞。用戶應立即檢查系統更新,確保安裝最新的安全補丁以防范潛在攻擊。此外,專家建議用戶在連接Wi-Fi網絡時,尤其是公共網絡時,應保持警惕,避免連接不明來源的Wi-Fi熱點。
為了增強自身的網絡安全防護,用戶還可以采取以下措施:
這一漏洞的發現,再次提醒我們日益復雜的網絡環境中,網絡安全的重要性。隨著黑客技術的不斷發展,類似的攻擊手段也在不斷演變,用戶和企業需要時刻保持警惕,加強網絡安全意識和防護措施。
此次事件不僅僅是對普通用戶的威脅,對于企業來說,尤其是那些依賴Wi-Fi網絡進行日常運營的企業,風險更為嚴重。雖然沒有任何系統可以做到完全無懈可擊,但上面的步驟可以大大降低 Wi-Fi 網絡受到網絡攻擊的風險。