基本检查点
检测不正常账户
查找被新增的账号,特别是管理员群组的(Administrators group)里的新增账户。
C:lusrmgr.msc
C:>net localgroup administrators
C:>net localgroup administrateurs
查找隐藏的文件
在系统文件夹里查看最近新建的文件,比如C:Windowssystem32.
C:>dir /S /A:H
检查注册表启动项
在Windoows 注册表里查看开机启动项是否正常,特别一下注册表项:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRunonce
HKLMSoftwareMicrosoftWindowsCurrentVersionRunonceEx
检查不正常的服务
检查所有运行的服务,是否存在伪装系统服务和未知服务,查看可执行文件的路径。
检查账户启动文件夹
例如:Windows Server 2008
C:UsersAdministratorAppDataRoamingMicrosoftWindowsStartMenuProgramsStartup
查看正在连接的会话
C: et use
检查计算机与网络上的其它计算机之间的会话
C: et session
检查Netbios连接
C: btstat –S
检查系统不正常网络连接
C: etstat –nao 5
检查自动化任务
检查计划任务清单中未知的计划
C:at
检查windows日志中的异常
检查防火墙、杀毒软件的事件,或任何可疑的记录。
检查大量的登入尝试错误或是被封锁的账户。
www服务器导入Web访问日志,并查看分析Web访问日志是否完整有攻击痕 迹。
检查www目录是否存在webshell网页木马,重点检查类似upload目录。
3.检查木马和后门
关于检查高级的木马和后门应依次检查这几项:启动项、进程、模块、内核、服务函数、联网情。使用工具更进一步检查隐藏木马和后门程序,可以使用PChunter
打开界面点击进程,我先对进程进行排查,随便选中一个进程右键菜单点击校验所有数字签名,pchunter会以不同的颜色来显示不同的进程种类。
数字签名是微软的进程:黑色
数字签名非微软的进程:蓝色
微软的进程,如果有些模块是非微软的:土黄色
没有签名的模块:粉红色
可疑进程,隐藏服务、被挂钩函数:红色
重点对数字签名不是微软的进程和驱动排查,尤其是无签名斌并隐藏服务、被挂钩的函数的进程和驱动,如:
对此驱动文件比较怀疑,可以右键点击pchunter在线分析上传到virscan扫描一下。