windows入侵检查

windows入侵检查

检查流程图:

1.现象检查

 1.1 已监听端⼝

        点击【开始菜单】，搜索框中输⼊【cmd】，右键点击【】程序，选择【以管理员身 份运⾏】

        使⽤ netstat -ano | findstr LIST 命令检查已监听端⼝。

1.2 已建⽴连接

        使⽤ netstat -ano | findstr EST 命令检查已建⽴连接，查询结果，可根据⾮常规连接判断是否存在异常，并根据该链接的 pid 进⾏深⼊分析

1.3 系统进程       

        使用wmic process where Name="指定进程.exe"  get

        caption,commandline,creationDate,executablepath,handle,handleCount （请求查看属性）

        > C:UsersXXXXX (生成指定文件，打印内容)

        更多wmic的使用使用  wmic / ？ 或    wmic process /?

2.持久化检查

2.1 任务计划

        检查任务计划是否存在异常的⽅法：

                1.使⽤ schtasks /query /fo LIST /v >c: 命令获取任务计划；

                2.使⽤正则 (Folder|TaskName|Status|Author|Task To Run|Scheduled Task State|Start         Time|Start Date)(.*) 过滤任务计划关键字段；

                3.使⽤正则 S D ( *) 和 S D $0 分割不同任务计划 

2.2 自启动项

        ⾃启动项可在系统启动时⾃动运⾏相关程序，恶意程序的第⼆个⾃启机制

        使⽤命令将⾃启动项导出检查。

        reg export   HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun                C:XXXXXXXXX

        检查导出的⾃启动项配置是否存在异常。

2.3 环境变量

        环境变量⽤于将系统路径变量化，如被⿊客利⽤则会以最⾼权限运⾏恶意程序，例如将环境  变量 %systemroot% 变更为其他路径，同时建⽴ system32 ⽂件夹并将恶意程序通过服务启动。

        PS：环境变量 %systemroot% 修改后需进⾏恢复，否则系统⽆法正常重启。

        使⽤ set 命令将环境变量导出检查。

例如：