Windows应急响应排查

最新推荐文章于 2025-11-12 10:54:33 发布
原创 最新推荐文章于 2025-11-12 10:54:33 发布 · 3k 阅读 · 19 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #安全 #应急响应 #Windows应急排查 #应急排查

部署运行你感兴趣的模型镜像

特殊情况

对于“驱动人生”挖矿木马、wannamine之类已知的可以通过流行病毒处置引擎查杀的木马,如果全盘扫描没有结果时,可以尝试用快速扫描;原因是文件查杀引擎和流行病毒处置引擎是并行关系,当主机性能较低时,可能会导致流行病毒处置引擎超时。

存在进程应如何定位

存在进程

EDR不单独对进程进行扫描,因此当病毒只有进程存在与主机时,是无法查杀到的,此时需要找到病毒进程并结束;最快速的方法是重启主机,但有些特殊情况主机无法重启,需要利用工具查找病毒进程并终止。

当流量侧有持续报出主机访问恶意域名或IP时,可以使用内存搜索工具对主机上的进程内存进行扫描,从而找到恶意进程,不过要注意,剪切板、远程软件、杀毒软件等可能是由于复制了域名字符串导致被扫描出来,要进行排除。

示例

使用僵尸网络工具,点击“威胁检索”:

僵尸网络工具下载地址:深信服EDR

输入要检索的域名字符串,点击“检索”:

稍等片刻后就会得到包含该域名的进程信息,可以看到,vmtoolsd.exe是由于使用剪切板功能导致的包含了域名字符串,比较可疑的是两个svchost.exe进程:

如何判断哪一个svchost是真正有问题的呢,使用工具processhacker查看进程的信息,根据PID找到进程——右键——Services,可以查看到该进程对应的服务;PID为1140的svchost.exe进程对应服务如下,看起来不是很可疑:

而PID为904的svchost.exe对应的服务中,有一个fastuserswitchingcompatibility服务比较可疑,于是点击“Go to service”查看该服务的信息:

可以看到该服务的描述也十分奇怪,右键——Properties查看服务的详细信息:

可以看到Service DLL处是一个jpg文件,非常的可疑,可以取出来判断是否为漏报的病毒文件:

计划任务排查

使用Autoruns工具可以查看主机上创建的计划任务以及详细的命令内容,执行了powershell命令或者cmd命令,且命令中带有一些奇怪的域名、IP、或者加密数据的计划任务,可疑度较高:

或是名字较为可疑,执行的文件路径比较可疑:

在“程序计划任务”中可以导出恶意的计划任务,保留后可以便于对病毒行为进行分析:

服务排查

恶意服务的判断相对来说会难一些,因为恶意服务常常会伪装成看起来正常的服务名,因此对经验的依赖要多一些,比如Wannamine的服务是由特定的单词列表拼接而成;对于没有分析过的木马来说,查找是否有恶意服务可以通过看服务对应的程序是否可疑。

例如下图中的fastuserswitchingcompatibility这个服务:

查看到对应的服务程序,是一个jpg文件,就十分的可疑,将文件取出进行分析后果然为木马程序:

如果无法直接从服务名判断,可以通过已知的恶意进程来查找对应的服务。如图,PID为904的svchost.exe是一个可疑进程,右键——Services,可以查看到该进程对应的服务,其中fastuserswitchingcompatibility服务名看起来比较奇怪,于是点击“Go to service”查看该服务的信息:

可以看到该服务的描述也十分奇怪,右键——Properties查看服务的详细信息:

可以看到Service DLL(服务对应执行的DLL文件)处是一个jpg文件,非常的可疑,可以取出来判断是否为漏报的病毒文件:

WMI排查

WMI也是木马常用的驻留项,通过Autoruns工具可以查看WMI的具体内容,WMI的判断与计划任务的判断有相似之处,通过名字和内容进行判断,例如下面的这个WMI名字非常的可疑,并且执行了一段加密的powershell命令,可以肯定为恶意:

MBR排查

MBR改写也是一种驻留方式,比较难以判断和修复,如果在其他的驻留项都排查过了以后,仍然没有查杀干净,则可以尝试使用工具扫描MBR是否被修改,使用专杀进行清理。

SQL驻留排查

当服务器不定时会访问恶意域名,但使用Autoruns却找不到启动项的时候,可以排查SQLServer确认下是否有驻留恶意代码。

客户反馈服务器一重启开机就会访问恶意域名sql.4i7i.com。

威胁关联到该病毒会攻击SQL Server,所以猜测SQL Server里可能驻留有恶意代码。

打开Autoruns,没有发现可疑的启动项。

使用威胁定位,发现sqlserver.exe内存里存在恶意域名字符串。

接着使用ProcessHacker在sqlservr.exe内存里搜索字符串sql.4i7i.com,检测出了powershell代码,这些基本可以判定SQL Server里驻留有恶意powershell代码了。

打开SQL Server,点击:SQL Server代理-->作业,右键可疑的作业项,新查询编辑器窗口。

在窗口里就可以发现恶意的powershell代码,将该恶意作业test_powershell_job1删除,服务器就不再报警了。

您可能感兴趣的与本文相关的镜像

Wan2.2-T2V-A5B

Wan2.2-T2V-A5B

文生视频
Wan2.2

Wan2.2是由通义万相开源高效文本到视频生成模型,是有​50亿参数的轻量级视频生成模型,专为快速内容创作优化。支持480P视频生成,具备优秀的时序连贯性和运动推理能力

网络安全自学教程》- Windows应急响应排查思路
wangyuxiang946的博客
04-17 1万+
结合实战案例逐步讲解Windows应急响应排查思路及具体操作步骤
应急响应工具教程】Windows 系统综合排查工具Hawkeye
solarset的博客
04-08 722
工具为图形化页面,可直接右键选择管理员运行打开,进入页面后可以看到主要功能项有:进程信息、外连助手、Beacon扫描、主机信息、日志分析、进程扫描。
Windows应急响应-入侵排查
weixin_52501704的博客
10-29 2477
应急响应
windows系统应急响应排查手册
菜鸟-传奇
08-04 832
windows系统应急响应排查手册 windows运行常用命令 eventvwr //系统登陆日志 lusrmgr.msc //系统用户查看 msconfig //系统启动项查看 ncpa.cpl //网络连接 firewall.cpl //防火墙状态 taskschd.msc //定时任务 系统安全登陆日志 eventvwr 4624表示登陆成功 4625表示...
应急响应windows入侵排查
最新发布
分享Python知识
11-12 726
我们在做应急响应时还是需要多从攻击者的角度去思考问题,知己知彼方能百战不殆,那么针对windows系统的入侵排查就介绍到这里。
安全服务】应急响应1:流程、排查与分析
热门推荐
kkza的博客
09-08 1万+
一、应急响应流程 应急响应分为六个阶段,分别是 准备 —— 检测 —— 抑制 —— 根除 —— 恢复 —— 总结 这种划分方法也称PDCERF方法 实际上,应急响应并不是严格遵从这个方法的,大多数情况都要具体问题具体分析 1 准备阶段 以预防为主,主要是要进行风险评估等工作,包括建立信息安全管理体系、部署安全设备和安装防护软件、建立应急响应和演练制度等等。 2 检测阶段 这个阶段是在安全事件发生后的,主要是判断安全事件是否还在发生,安全事件产生的原因,对业务的危害程度以及预计如何处理。 ..
Windows应急响应-排查方式
网络空间安全学习
08-05 2524
网络安全应急响应(Network Security Incident Response,又称CSIRT)是指团队或组织为了在网络安全事件发生时能够及时准确地做出反应和应对而建立的一套制度和流程。其目的是降低网络安全事件所造成的损失并迅速恢复受影响的系统和服务。我这里总结了一些 Window 服务器应急响应的思路和方法,希望能对师傅们处理攻击事件或工作中的应急响应有所帮助。常见的应急响应事件分类:常见的应急响应事件可分为四类,如下。
windows入侵排查思路
weixin_30787531的博客
08-01 790
0x00 前言 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。 常见的应急响应事件分类: web入侵:网页挂马、主页篡改、Webshell 系统入侵:病毒木马、勒索软件、远控后门 网络...
精选资源
Windows应急响应排查基础.zip
02-11
Windows应急响应排查基础 简单的应急这足够解决 包含如下工具 windows日志分析工具 包含如下文档 Windows 日志记录配置.docx [应急响应] windows,入侵排查思路.docx Windows日志登录类型.docx windows应急响应...
应急响应篇-Windows 基本排查
cavathon的博客
03-17 734
逐个排查Users下所有以00000开头的项,如果F值与000001F4的F值相同,则可能为克隆用户。打开计算机管理依次找到 系统工具 --> 本地用户和组 --> 用户 可查看隐藏用户。打开注册表编辑窗口,选择HKEY_LOCAL_MACHINE下的SAM选项,勾选。命令行中输入msinfo打开系统信息,可查看详细的系统信息。课显示用户账户信息,但无法查看到以$结尾的隐藏用户。命令,点击启动,可查看启动项详细信息。,即可查看任务计划的详细信息。可以查看目标用户的详细信息。通过注册表查看启动项。
应急响应篇:windows入侵排查
kali_Ma的博客
09-08 2170
前言 应急响应(Incident Response Service,IRS)是当企业系统遭受病毒传播、网络攻击、黑客入侵等安全事件导致信息业务中断、系统宕机、网络瘫痪,数据丢失、企业声誉受损,并对组织和业务运行产生直接或间接的负面影响时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,同时分析入侵原因、还原入侵过程、评估业务损失、溯源黑客取证并提出解决方案和防范措施,减少企业因黑客带来的相关损失。本文主要讨论windows被入侵后的排查思路。 windows入侵排查利器:火绒剑 202
windows应急响应
WEB渗透测试 从入门到萌新
03-29 3433
一、工具扫描 使用木马查杀工具 对web后门 进行查找 如d盾、、、 二、日志分析、端口、进程、开机、注册表 1、网站通常是看中间件日志,通常目录是在中间件的logs目录下的acces.log文件。 2、端口 netstat -ano 参数说明: -a 显示所有网络连接、路由表和网络接口信息 -n 以数字形式显示地址和端口号 -o 显示与每个连接相关的所属进程 ID -r 显示路由表 -s 显示按协议统计信息、默认地、显示 IP 常见的状态说明: LISTENING 侦听状态 ESTABL
应急响应-windows-系统排查
qq_50765147的博客
01-21 1685
系统排查 在进行受害主机排查时,首先要对主机系统进行基本排查,方便对受害主机有一个初步的了解。 系统基本信息 Windows系统 在基础排查时,可以使用Microsoft系统信息工具(Msinfo32.exe),他是Microsoft Windows NT诊断工具(Winmsd.exe)的更新版本。 系统信息工具 在命令行中输入【msinfo32】命令,打开【系统信息】窗口,如图所示,可以显示本地计算机的硬件资源、组件和软件环境的信息。除了各方面的概述信息,还可以对
应急响应排查(windows版)
long_mingyue的博客
08-06 1024
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。常见的应急响应事件分类:Web 入侵:网页挂马、主页篡改、Webshell系统入侵:病毒木马、勒索软件、远控后门网络攻击:DDOS 攻击、DNS 劫持、ARP 欺骗。
应急响应Windows应急响应 - 基础命令篇
网络安全从业者的学习笔记
07-02 5543
在如今的数字化时代,Windows系统面对着越来越复杂的网络威胁和安全挑战。本文将深入探讨在Windows环境下的实战应急响应策略。我们将重点关注实际应急响应流程、关键工具的应用,以及如何快速准确地识别和应对安全事件。通过分享实际案例分析,旨在帮助网络安全从业者提升应急响应能力,有效保护关键资产和数据的安全
windows入侵应急响应检查思路及流程
weixin_45552912的博客
07-30 669
ogs/catalina.xx.log logs/host-manager.xx.log logs/localhost.xx.log logs/manager.xx.log 主要记录系统启、关闭日志、管理日志和异常信息。1、卡巴斯基:http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe。打开cmd,然后输入 schtasks.exe,检查计算机与网络上的其它计算机之间的会话或计划任务,如有,则确认是否为正常连接。
应急响应Windows主机入侵排查
Trave-ler
08-14 1432
应急响应Windows主机入侵排查
Windows DNS服务器怎么拦截恶意域名访问
08-16
<think>首先,用户的问题是:“我想配置Windows DNS服务器以阻止恶意域名访问 请问如何在Windows DNS服务器中配置拦截恶意域名访问”。这是一个关于Windows DNS服务器的配置问题,目的是阻止恶意域名访问。 根据系统级指令,我需要: - 所有行内数学表达式使用$...$格式。 - 独立公式使用$$...$$格式并单独成段。 - LaTeX语法正确。 - 使用中文回答。 - 生成相关问题。 - 回答中引用的段落末尾自然地添加引用标识,例如[^1]。 用户可见层指令: - 回答结构清晰,帮助用户逐步解决问题。 - 尽量保证回答真实可靠。 参考站内引用: - 引用[1]:提供了DNS服务器拦截恶意域名访问的一般步骤,包括配置黑名单、域名解析拦截、使用第三方服务等。 - 引用[2]:针对恶意域名指向服务器的设置,但主要是Apache配置,与Windows DNS服务器不直接相关。 - 引用[3]:捕获DNS请求并记录恶意域名访问的过程。 - 引用[4]:防火墙拦截DNS请求的原理,提到hosts文件的优先级。 用户的问题是关于Windows DNS服务器的,所以我需要专注于Windows DNS服务器的配置。引用[1]是最相关的,因为它提供了通用步骤,我可以将其适配到Windows环境中。 关键点: - 在Windows DNS服务器中配置拦截恶意域名访问。 - 主要方法包括配置黑名单(DNS过滤)、重定向或返回错误。 步骤(基于引用[1]和一般知识): 1. **配置黑名单**:在Windows DNS服务器上创建一个黑名单,包含恶意域名。 2. **域名解析拦截**:当请求恶意域名时,DNS服务器可以返回NXDOMAIN或重定向到安全页面。 3. **使用第三方服务**:考虑使用支持过滤的DNS服务,但用户指定了Windows DNS服务器,所以可能不是首选。 4. **日志记录和分析**:启用日志以监控DNS查询。 5. **安全措施**:如DNSSEC、软件更新等。 在Windows DNS服务器中,具体实现: - Windows Server的DNS角色允许通过DNS策略来配置过滤。 - 可以使用DNS策略来阻止特定域名。 详细步骤(结构清晰): 1. **准备工作**:确保Windows Server安装了DNS角色。 2. **创建黑名单**:列出恶意域名。 3. **配置DNS策略**:使用Windows DNS管理工具设置策略来拦截这些域名。 4. **测试配置**:验证拦截是否有效。 5. **维护和监控**:定期更新黑名单和监控日志。 添加引用:在回答中自然地添加引用标识。例如,基于引用[1]的内容。 生成相关问题:在回答末尾添加相关问题。 回答结构: - 开头:简要介绍Windows DNS服务器拦截恶意域名的方法。 - 主体:逐步解释配置步骤。 - 结尾:总结和生成相关问题。 使用中文回答。 确保没有数学表达式,因为这是一个配置问题,可能不需要数学。但如果提到任何公式或方程,使用指定格式。 最终回答大纲: 1. 介绍:解释Windows DNS服务器如何拦截恶意域名。 2. 步骤: a. 安装和配置DNS角色。 b. 创建恶意域名列表。 c. 设置DNS策略进行拦截。 d. 配置响应(如NXDOMAIN或重定向)。 e. 启用日志记录。 f. 维护和更新。 3. 引用:自然地添加引用。 4. 相关问题。</think>### 在Windows DNS服务器中配置拦截恶意域名访问 在Windows Server环境中,配置DNS服务器以拦截恶意域名访问是提升网络安全性的关键措施。这主要通过DNS策略(DNS Policies)实现,允许您创建黑名单、拦截恶意域名的解析请求,并返回特定响应(如错误或重定向)。以下步骤基于Windows Server 2016及更高版本(支持DNS策略功能),我将逐步指导您完成配置。整个过程结构清晰,确保可靠性和易操作性[^1]。 #### 步骤1: 准备工作 - **确保DNS角色已安装**: - 打开“服务器管理器”,选择“添加角色和功能”。 - 在“服务器角色”中勾选“DNS服务器”,完成安装。 - 验证DNS服务运行正常:在PowerShell中运行 `Get-Service -Name DNS`,状态应为“Running”。 - **收集恶意域名列表**: - 创建一个文本文件(例如 `malicious_domains.txt`),每行一个恶意域名(如 `malicious.com`、`spam.site`)。这些域名可来源于安全情报源(如Cisco Talos或Spamhaus),并定期更新以应对新威胁[^1]。 #### 步骤2: 配置DNS策略进行拦截 Windows DNS服务器使用DNS策略来过滤请求。以下是核心配置: - **创建DNS策略**: - 打开“DNS管理器”(运行 `dnsmgmt.msc`)。 - 右键单击服务器名,选择“DNS策略”。 - 在“策略”选项卡中,点击“创建策略”,命名为“BlockMaliciousDomains”。 - 在“条件”部分,选择“客户端子网”或“查询类型”,但为简单起见,选择“所有查询”。 - **添加黑名单规则**: - 在“策略”中,点击“添加规则”,命名为“BlockRule”。 - 选择“条件”为“域名”,然后导入您的 `malicious_domains.txt` 文件。 - 设置“操作”为“阻止查询”:这将拦截所有匹配的请求。 - **配置响应方式**(可选,但推荐): - 当请求被拦截时,DNS服务器可返回: - **NXDOMAIN错误**(域名不存在):模拟域名无效,使客户端无法连接。在策略中设置“响应类型”为“NXDOMAIN”。 - **重定向到安全页面**:例如,重定向到本地IP `127.0.0.1` 或一个警告页面。需额外配置: - 在DNS策略中,设置“响应类型”为“重定向”,并指定目标IP(如 `127.0.0.1`)。 - 在IIS中创建简单网页(例如 `block.html`),显示“访问被阻止”消息,并绑定到该IP[^1][^2]。 - 数学表示(独立公式):如果您需要计算拦截效率,可使用公式如: $$ \text{拦截率} = \frac{\text{成功拦截次数}}{\text{总恶意请求次数}} \times 100\% $$ #### 步骤3: 启用日志记录和监控 - **配置DNS日志**: - 在DNS管理器中,右键单击服务器名,选择“属性”。 - 转到“调试日志”选项卡,启用日志记录,并指定日志文件路径。 - 定期分析日志(使用PowerShell命令 `Get-DnsServerDiagnostics`),检测异常查询模式,如高频请求特定恶意域名[^1][^3]。 - **监控和更新**: - 使用任务计划程序(Task Scheduler)自动更新黑名单:例如,每周运行PowerShell脚本下载最新恶意域名列表。 - 脚本示例(保存为 `update_domains.ps1`): ```powershell # 下载恶意域名列表并更新DNS策略 $url = "https://example.com/malicious_domains.txt" Invoke-WebRequest -Uri $url -OutFile "C:\dns\malicious_domains.txt" Add-DnsServerClientSubnet -Name "MaliciousBlock" -IPv4Subnet "0.0.0.0/0" -PassThru Set-DnsServerQueryResolutionPolicy -Name "BlockMaliciousDomains" -Action "NXDOMAIN" -ClientSubnet "EQ,MaliciousBlock" ``` #### 步骤4: 增强安全性措施 - **部署DNSSEC**: - 在DNS管理器中选择区域(如“正向查找区域”),右键启用DNSSEC,防止缓存投毒攻击[^1][^4]。 - **软件和配置审查**: - 定期更新Windows Server和DNS角色,修补漏洞(使用Windows Update)。 - 审查DNS策略:运行 `Get-DnsServerQueryResolutionPolicy` 验证规则是否生效。 - **综合防御**: - 结合hosts文件拦截(优先级高于DNS):编辑 `C:\Windows\System32\drivers\etc\hosts`,添加行如 `127.0.0.1 malicious.com`,但此方法仅限本地,不推荐大规模使用[^4]。 - 考虑多层防御:如防火墙规则(通过Windows防火墙阻止恶意IP),或集成第三方DNS服务(如Quad9)作为辅助[^1]。 #### 测试和验证 - 测试拦截:在客户端使用 `nslookup malicious.com`,应返回“Non-existent domain”或重定向IP。 - 性能影响:DNS策略对性能影响极小,但监控CPU和内存使用(使用Performance Monitor)。 通过以上步骤,您可以有效配置Windows DNS服务器拦截恶意域名访问,提升网络安全性。定期维护是确保长期有效的关键[^1]。 ### 相关问题 1. 如何在Windows DNS服务器中设置自动更新恶意域名黑名单? 2. Windows DNS策略与第三方DNS服务(如Quad9)相比有哪些优缺点? 3. 如何分析Windows DNS日志以检测潜在攻击? 4. DNSSEC在Windows环境中如何配置和验证其有效性? 5. 如果拦截后客户端仍能访问恶意域名,如何排查常见问题?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值