Windows系统入侵排查在现在网络发达的时代任然有很多我们日常看不见的风险与灰产小编前几天处理了一个通过售卖dma游戏辅助软件后偷偷安装后门的一个平台固件一体化控制感觉现在生活中很多文件都可能存在位置的风险今天我们着重说说系统的一个入侵排查windows系统入侵排查排查的话我们就要想到黑客入侵了你的电脑首先应该可能会做什么其实一想就知道添加用户所以我们排查的第一步就是用户名排查用户名排查winR----输入cmd net user #显示所有用户 net user 用户名 #查询用户的详细信息 net user /domain #域环境专用 net user 名称 密码 /add #添加用户 net user 名称 /delete #删除用户 net user 名称 新密码 #更改密码发现可疑用户先回忆调查用户该不该存在如果不该存在就删除影子用户检****查**什么是影子用户**隐藏用户结尾带$符号 影子用户在计算机管理界面也看不到需要检查注册表影子用户常见用于黑客入侵后需要长期操控计算机的需求而对用户设置的隐藏基于权限提升和权限维持当发现你的计算机存在影子用户后可能你的电脑已经被黑客完全控制检查步骤1.打开注册表winR ----输入 regedit2.在注册表里面查找路径HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/Names #如果找不到或者提示权限不足需要右键HKEY_LOCAL_MACHINE/SAM/SAM项选择权限在弹出的权限设置窗口中选择 “Administrators” 用户组然后在 “完全控制” 对应的 “允许” 复选框上打勾点击 “确定”。按下 “F5” 键刷新注册表编辑器此时就可以展开 “SAM” 项然后依次展开 “Domains”“Account”“Users”“Names”即可到达目标路径在右侧窗格中会显示系统中的所有用户包括隐藏的影子用户。你可以将此处显示的用户与通过 “net user” 命令查看的用户进行对比若注册表中的用户数量多于 “net user” 命令显示的数量则可能存在影子用户**注意**部分系统可能不适用此项如果发现了可疑或者与net user查询的数量不对则可能存在影子用户其他方式查看除了注册表编辑器外还可以通过命令行工具、系统自带管理工具、查看系统日志以及使用第三方安全工具等方法来排查 Windows 系统中的影子用户具体如下 使用命令行工具以管理员身份打开命令提示符输入 “net user” 命令可查看系统中所有可见用户账户。若存在影子用户通常不会在此列表中显示但可结合其他方法辅助判断。还可使用 “net localgroup administrators” 命令查看管理员组中的用户检查是否有可疑用户名。若发现不熟悉且未手动添加的用户可能是影子用户。 利用系统自带管理工具按下 “WinR” 组合键输入 “lusrmgr.msc” 并回车打开 “本地用户和组” 窗口。查看用户列表及管理员组等重要组中的成员留意是否有异常用户名部分影子用户可能会在此处显示。也可以通过 “控制面板” 进入 “管理工具”再打开 “计算机管理”在其中的 “本地用户和组” 部分进行同样的查看操作。 查看系统日志影子用户的活动可能会在系统日志中留下痕迹。按下 “WinR” 组合键输入 “eventvwr.msc” 并回车打开事件查看器。在 “安全” 日志中关注事件 ID 为 4624登录成功和 4625登录失败的事件查看是否有未知账户的登录记录若有可疑登录可能与影子用户相关。 检查自启动项影子用户可能会通过自启动项来维持权限可检查相关自启动位置。按下 “WinR” 组合键输入 “shell:startup”查看 “启动” 文件夹中是否有可疑程序。也可查看注册表中的自启动项如 “HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run” 和 “HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run”若有不明程序或可疑路径可能与影子用户有关。 使用第三方安全工具可借助火绒剑、Process Monitor、Process Hacker 等第三方安全工具。火绒剑可查看系统中的进程、服务、网络连接等信息帮助发现可疑进程和与影子用户相关的异常活动。Process Monitor 能实时显示文件系统、注册表、网络连接等活动可用于排查影子用户相关的文件操作和注册表修改。Process Hacker 可检测恶意进程分析进程的详细信息有助于发现隐藏的恶意程序及与影子用户相关的进程端口进程检查我们排除了用户名如果站在黑客视角用户名排除后黑客就没有直接操控计算机的办法只剩下webshell和反弹shell以及木马控制计算机但是这类方式有一个共同的特征那就是存在端口连接进程信息接下来我们来查看查看端口和进程检查步骤winR ----输入 CMD netstat -ano #查看端口 tasklist | findstr [PID] #查看进程输入之后即可查看计算机所有的连接信息我们可以通过这个判断是否存在可疑进程连接排查思路1.通过敏感端口号排查铭感端口223389888444450050445444580806379804432.可疑进程常见后门大小 exe20mb以下 查看进程 的几种方式 1.任务管理器 2.winr---- msinfo32 3.三方工具小技巧a、查看端口对应的PID netstat -ano | findstr “port” linux对应语句netstat -lntup | grep “port” b、查看进程对应的PID任务管理器--查看--选择列--PID 或者 tasklist | findstr “PID” c、查看进程对应的程序位置 任务管理器--选择对应进程--右键打开文件位置 运行输入 wmiccmd界面 输入 process d、tasklist /svc 进程--PID--服务 e、查看Windows服务所对应的端口 %system%/system32/drivers/etc/services一般%system% 就是C:/Windows启动项前面的排查项目我们就基本上能当场查杀70%的后门我们接下来说说启动项有些木马是需要启动的 让木马定时启动或者是开机自启动**启动项**即自动启动无需手动点击当达到某条件自动运行例如重启后自动运行检查步骤1.winR ----输入msconfig #查看系统配置win11以上可能不适用推荐从任务管理器查看win10以下推荐 2.注册表 winr---regedit---指定路径 HKEY_CURRENT_USER/software/micorsoft/windows/currentversion/run HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Runonce #注册表的启动项查看是否有铭感文件exe路径或者恶意代码 3.利用安全软件查看启动项、开机时间等等 4.组策略winr---gpedit.msc 5.开始菜单---所有程序---启动默认情况下是一个空目录**提示**在现在的win10或者更高的系统版本里往往启动项是入侵者最不可选的方式在win7系列比较多任务计划任务计划是入侵者最喜欢用的权限维持手段我们接下来学习怎么排查打开方式1、控制面板 2、at工具schtasks.exewin10及以上版本 #在Windows中通常用at和schtasks命令添加计划任务。其中at命令默认是以System权限执行。**重点排查**exe文件at命令详解at [//computername] time [/interactive] [/every:date[,...] | [/next:date[,...]] command at [//computername] [[id] [/delete] | /delete [/yes]] 参数含义 //computername 使用此参数指定远程计算机。 如果省略此参数任务将计划在本地计算机上运行 time使用此参数指定任务运行的时间。 时间指定为 小时 基于 24 小时制的分钟数 /interactive使用此参数可允许任务与在任务运行时登录的用户桌面进行交互 /every:date[,...]使用此参数将任务安排在每周或每月的指定日期例如每周五或每月的第八天运行。 将 date 指定为一周中的一天或多天 (请使用以下英文缩写形式Mo、Tu、We、Th、Fr、Sa、Su) 或 (月中的一天或多天使用数字 1 到 31) 。 确保使用逗号分隔多个日期条目。 如果省略此参数任务将默认在每月的本日运行 /next:date[,...]使用此参数将任务安排在当天的下一个事件例如下周一运行) 。 将 date 指定为一周中的一天或多天 (请使用以下缩写形式Mo、Tu、We、Th、Fr、Sa、Su) 或 (月中的一天或多天使用数字 1 到 31) 。 确保使用逗号分隔多个日期条目。 如果省略此参数任务将默认在每月的本日运行 command准备运行的Windows命令.exe文件或批处理程序.bat。如果命令需要路径作为参数请使用绝对路径。 如果命令位于远程计算机上请使用统一命名约定 (UNC) / ServerName / ShareName (路径) 。 如果命令不是可执行 (.exe) 文件则必须在命令的之前使用 cmd /c 。例如 cmd /c copy C:/1.txt C:/temp id使用此参数指定分配给计划任务的标识号。可省略自动从1开始 /delete使用此参数可以取消计划任务。 如果省略 id 参数将取消计算机上所有计划的任务 /yes在取消计划任务时使用此参数对系统的所有查询强制提供是答案。 如果省略此参数系统将提示你确认取消任务 #例如 #添加计划任务复制文件操作 #at 15:00 cmd /c copy C:/Users/gang/Desktop/1.txt E:/ 查看任务计划 at #查看任务计划 at [id] #查看某某任务计划的详细信息 at /delete #删除任务计划 at [id] /delete #删除某条任务计划schtasks命令winr ---输入cmd---cmd输入schtasks.exe 参数 C:/Users/11305schtasks.exe /? SCHTASKS /parameter [arguments] 描述: 允许管理员创建、删除、查询、更改、运行和中止本地或远程系统上的计划任 务。 参数列表: /Create #创建新计划任务 /Delete #删除计划任务 /Query #显示所有计划任务 /Change #更改计划任务属性 /Run #按需运行计划任务 /End #中止当前正在运行的计划任务 /ShowSid #显示与计划的任务名称相应的安全标识符 /? #显示此帮助消息 Examples: SCHTASKS SCHTASKS /? SCHTASKS /Run /? SCHTASKS /End /? SCHTASKS /Create /? SCHTASKS /Delete /? SCHTASKS /Query /? SCHTASKS /Change /? SCHTASKS /ShowSid /? 一些参数的含义 /create #指的是创建计划任务 /s #指定远程计算机 /tn #指定计划任务的名称 /ru #指定运行该批处理的账号如果去掉该参数则默认为当前账户运行会提示输入密码。(一个计划任务所用的账号如果密码变动后该批处理就不再会运行成功) /rp #指定账号的密码 /tr #指定程序所在路径这里为指定要执行的批处理存放路径。 /sc #为指定运行的周期 /d #为日期一周中的一天或多天 (请使用以下缩写形式Mon、Tue、Wed、Thu、Fri、Sat、Sun) 或 (月中的一天或多天使用数字 1 到 31) /st #为运行时间服务自启动查看方式1.搜索栏搜索服务 2.winr---输入services.msc着重检查exe文件工具查杀D盾专门查杀windows系统中的webshell360星图恶意流量分析工具360安全卫士、火绒或者其他的杀软查看启动项、任务计划、服务等这些基本就是windows系统的入侵排查方式了希望你永远找不到没结果希望我的经验对你有些帮助期待三连点赞收藏关注《网络安全从零到精通全套学习大礼包》96节从入门到精通的全套视频教程免费领取如果你也想通过学网络安全技术去帮助就业和转行我可以把我自己亲自录制的96节 从零基础到精通的视频教程以及配套学习资料无偿分享给你。网络安全学习路线图想要学习 网络安全作为新手一定要先按照路线图学习方向不对努力白费。对于从来没有接触过网络安全的同学我帮大家准备了从零基础到精通学习成长路线图以及学习规划。可以说是最科学最系统的学习路线大家跟着这个路线图学习准没错。配套实战项目/源码所有视频教程所涉及的实战项目和项目源码学习电子书籍学习网络安全必看的书籍和文章的PDF市面上网络安全书籍确实太多了这些是我精选出来的面试真题/经验以上资料如何领取4e739621ffb5d4309b20.jpeg#pic_center)面试真题/经验以上资料如何领取文章来自网上侵权请联系博主