当前位置: 首页 > news >正文

Windows应急响应一般思路(三)

文件痕迹排查

在应急响应排查的过程中,由于大部分的恶意软件、木马、后门等都会在文件维度上留下痕迹,因此对文件痕迹的排查必不可少

一般可以从以下几方面对文件痕迹进行排查

  • 对恶意软件常用的敏感路径进行排查
  • 在确定了应急响应事件的时间点后,对时间点前后的文件进行排查
  • 对带有特征的恶意软件进行排查,这些特征包括代码关键字或关键函数、文件权限特征等

Windows文件痕迹排查

敏感目录

在Windows系统中,恶意软件常会在以下位置驻留

temp(tmp)相关目录

有些恶意程序释放子体(即恶意程序运行时投放出的文件)一般会在程序中写好投放的路径,由于不同系统版本的路径有所差别,是临时文件的路径相对统一,因此在程序中写好的路径一般是临时目录,对敏感录进行的检查,一般是查看临时目录下是否有异常文件

除了temp,Windows、Appdata、localappdata这些目录也需要排查一下

  • %WINDIR%,Windows目录
  • %WINDIR%\system32\
  • %TEMP%,temp目录
  • %LOCALAPPDATA%,localappdata目录
  • %APPDATA%,Appdata目录
工具下载记录

对于一些人工入侵的应急响应事件,有时入侵者会下载一些后续攻击的工具,Windows系统要重点排查浏览器的历史记录、下载文件和cookie信息,查看是否有相关的恶意痕迹

查看用户Recent文件

Recent文件主要存储了最近运行文件的快捷方式,可通过分析最近运行的文件,排查可疑文件

一般,Recent文件在Windows系统中的存储位置如下:

  • C:\Documents and Settings\Administrator(系统用户名)\Recent
  • C:\Documents and Settings\Default User\Recent

或者直接在运行中输入

  • %UserProfile%\Recent
  • %APPDATA%\Microsoft\Windows\Recent
预读取文件夹

%systemroot%\Prefetch

最近运行过的程序会有预读取

近期变动文件

时间点查找应急响应事件发生后,需要先确认事件发生的时间点,然后排查时间点前、后的文件变动情况,从而缩小排查的范围

在windows下,一个文件有:创建时间、修改时间、访问时间

  • 创建时间:文件创建时间
  • 修改时间:文件内容被修改时间
  • 访问时间:文件访问时间或者说最近一次文件状态改变的时间(受到LastAccessTime影响,Vista之后默认关闭)
Everything

使用Everything工具可以很直观看到文件的创建时间、修改时间、访问时间

forfiles

可列出攻击日期内新增的文件,从而发现相关的恶意软件,在Windows系统中,可以在命令行中输入【forfiles】命令,查找相应文件

例如:使用【forfiles /m *.exe /d +2025/7/12 /s /p c:\ /c "cmd /c echo @path @fdate @ftime"】命令就是对2025/7/12后的exe新建文件进行搜索

  • /m 文件掩码
  • /d 日期筛选
  • /s 递归搜索
  • /p 起始路径 c:\ (使用标准Windows路径)
  • /c 执行命令
排查时间逻辑问题

对文件的创建时间、修改时间、访问时间进行排查

对于人工入侵的应急响应事件,有时攻击者会为了掩饰其入侵行为,对文档的相应时间进行修改,以规避一些排查策略

例如,攻击者可能通过“菜刀类”工具改变修改时间

因此,如果文件的相关时间存在明显的逻辑问题,就需要重点排查了,极可能是恶意文件

隐藏文件排查

  • 如果是ads隐藏,可以通过dir /r查看
    • 隐藏方式为类似于 echo ^<?php ..... ^> > a.php:hidden.jpg,直接看只会显示a.php
  • 如果是普通文件隐藏,可以通过dir /a查看
    • 隐藏方式为类似于 attrib +s +h 文件名

敏感内容

  • 查找文件中的字符串: findstr /m /i /s "hello" *.txt

其他常用命令

  • 操作系统的详细配置信息: systeminfo
  • 计算样本MD5: certutil -hashfile %样本exe% MD5
http://www.dtcms.com/a/347736.html

相关文章:

  • 第1.2节:早期AI发展(1950-1980)
  • 老字号:用 “老根” 熬活的 “新味道”
  • redis---string类型详解
  • 大模型四种常见安全问题与攻击案例
  • mysql的mvcc
  • 大语言模型应用开发——利用OpenAI函数与LangChain结合从文本构建知识图谱搭建RAG应用全流程
  • Redis全面详解:从配置入门到实战应用
  • 【前端debug调试】
  • 【Java SE】抽象类、接口与Object类
  • 从“一指禅”到盲打:如何系统提升电脑输入能力?
  • 25.深入对象
  • 联邦学习之----联邦批量归一化(FedBN)
  • 线程间Bug检测工具Canary
  • Python字符串
  • SOC估算方法-蜣螂优化算法结合极限学习
  • 1200 SCL学习笔记
  • 机器人控制基础:串级PID控制算法的参数如何整定?
  • 11.Shell脚本修炼手册---IF 条件语句的知识与实践
  • 无线数传模块保障智能立体车库多设备实时通信的可靠性
  • 二、BPMNJS简介
  • share logic in core or in example
  • 【typenum】 23 倒序存储的无符号整数(private.rs片段)
  • Linux mount 命令
  • PyInstaller将.py文件转为exe,执行文件在不同的电脑出现字体大小不一致问题原因分析及解决办法
  • Spring:IOC(控制反转 )、DI(依赖注入 )、AOP(通知类型、事务、拦截器)
  • 主流.NET 平台的NuGet 生态正在积极拥抱 AOT
  • 【84页PPT】智慧方案某著名企业某集团协同OA整体解决方案(附下载方式)
  • MySQL索引原理与优化全解析
  • 【每天一个知识点】训推一体机
  • 13.Shell脚本修炼手册---玩转 CASE 语句(应用场景与实践技巧)