windows应急响应基础（基础和常用命令）_win7 紧急命令

如果有$结尾的用户为影子用户常用户权限维持。大概率是攻击者留下的。如admin$，test$ 等等

![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/259b7d9070f74633bc424029e71a49e5.png)


#### powershell 查询用户

wmic useraccount get name,SID

![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/0be3c6ae19574795bcab5fe2e823a58a.png)


#### 图形化查询


图形化的方法 计算器管理-本地用户和组里面可以看到  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/2fb5c2ff2b6c446491538833c5a9aaf5.png)


#### 注册表查询


还可以到注册表中查看用户，HKEY\_LOCAL\_MACHINE 下SAM选项下的SAM选项下Domains，Account下面有个Names注册表就可以查看当前所有的用户。  
 计算机`\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users`


admin$就是影子用户，隐藏用户。  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/ab7c101ebce64dfbbdaa85c3b975f6c6.png)


### 自启动排查


#### 查看自启动项目


系统配置命令中的启动


命令：

msconfig

![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/6e839725ea664ff29a5aec28b5402b80.png)


### 注册表排查


#### 什么是注册表


注册表就是计算机配置、用户配置和软件配置的一个数据库。  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/6d34d71c98694bfd9c6dd1165829c41b.png)


#### 注册表的简单介绍


HKEY\_CLASSES\_ROOT（简称HKCR），windows中在资源管理器正确运行的程序。


HKEY\_CURRENT\_USER（HKCU），其中有个USER，包含当前登录用户的配置信息用户文件和用户配置等。


HKEY\_LOCAL\_MACHINE（HKLM）machine英语机器，这个注册表是有关运行操作系统的所有硬件信息和驱动信息和应用程序的通用配置等。


HKEY\_USERS（HKU）系统上用户的所有配置文件信息应用程序配置信息等。


HKEY\_CURRENT\_CONFIG（HCU）存储有关系统当前配置信息。（Current当前config配置）。


### 计划任务排查


#### 图形化计划任务查询


计算机管理以管理员权限运行，任务计划程序。  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/7a1fb40d940b43c59610445476287b09.png)


#### 命令行查询计划任务


查看所有计划任务，（旧版系统使用at命令）  
 命令：

schtask

![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/d5ffec217b5245ebb7a815c4b454c273.png)


### 进程排查


#### 任务管理器


右键选择命令行和进程名称，这样可以准确知道进程名称和进程文件位置。  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/89bcba5f7d0848f0a8388ee86661b37c.png)


#### 火绒剑


![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/d2909edc57b14898a1082ae0fa5e02f6.png)


#### 命令行进程管理


命令：

tasklist

![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/1b46c3d3f4dd4654acd07ec81acb34ec.png)  
 比如排查dll劫持问题。  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/2e26e9da2f0e47eca543422aa5da9d91.png)


### 网络排查


#### 命令行排查网络


命令行排查网络连接状态  
 命令

netstat

![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/43b558bdcdab4cb290822a75407e26ae.png)

netstat -ano

![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/b6039727d3094d6db7ab88ab6744f285.png)


还可以使用管道符号进行筛选  
 例如筛选连接状态的网络，ESTABLISHED 是连接状态的意思。

netstat -ano | findstr “ESTAB”

![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/4c361a7e8cc84477adb71de1f3dc5da3.png)  
 等等，详细可以netstat /? 查询帮助文档。


### 服务排查


![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/baafdc3519654176955812bbfbc1e740.png)


### 敏感文件排查


命令目录、temp或者tmp临时目录，下载目录，上传目录和web路径等。


#### 查询最近修改文件


命令:

forfiles /?

![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/1b0d4c729847449fb8305caf93e0e6ec.png)


#### 其他软件


  
 可以使用病毒查杀工具和主机安全设备进行排查。如果是webshell还可以使用d盾等webshell查杀工具。等等 
### 日志分析


#### windows日志路径


windows 常用的日志文件和文件路径。  
 系统日志 SysEvent.evt  
 安全日志 SecEvent.evt  
 应用日志 AppEvent.evt


日志路径：  
 新系统下的路径  
 %SystemRoot%\System32\Winevt\Logs


旧系统下的路径  
 C:\Windows\ System32\config  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/b231c8c970f840cd883af57438535aad.png)


#### 图形化查看日志


计算机管理中的事件查看器  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/fb609cd8b3254c318d68792c3c9be360.png)


#### 应急响应常用的事件


安全日志审计常用编号


用户登录事件：  
 4624：登录成功  
 4625：登录失败  
 4634：注销本地登录用户  
 4647：注销远程登录的用户  
 4648：使用显式凭证尝试登录  
 4672：新登录的用户被分配管理员权限


用户管理事件：  
 4720：新建用户  
 4722：启用新用户  
 4724：修改用户密码  
 4726：删除用户  
 4731：创建用户组  
 4732：添加用户到用户组  
 4733：从组中删除用户  
 4734：删除用户组。  
 4735：安全组更改  
 4738：修改用户账户


服务相关  
 7030:服务创建失败  
 7040:服务类型从禁用更改成自动启动  
 7045：服务创建  
 等等


还可以使用其他日志工具进行查询分析如  
 FullEventLogView，Event Log Explorer，Log Parser等日志分析工作。


### 流量分析


#### wireshark


常用命令

ip.addrip
tcp.port445

还可以使用&& 和，|| 或命令


查看两个ip的通讯

ip.addr==ip1 && ip.addr=ip2