windows应急响应

1.开机自启动文件

一般被植入的木马病毒，恶意文件都会在计算机启动时自行启动。在windows下可通过以下几种方式查看开机自启动项。

①操作系统中的启动菜单。

C:\Users\cyh17\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

②利用cmd的msconfig

③利用注册表regedit

win+R->regedit打开注册表

然后找到

计算机\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

2.temp临时异常文件

临时文件里面也有可能有异常文件，比如临时编辑的文件，浏览的页面，很多网上的清理c盘的教程，就让我们删除temp的所有文件。

这里有两种方式查看临时异常文件。

①操作系统的temp文件夹

C:\Users\cyh17\AppData\Local\Temp

②运行%temp%

WIN+R->%temp%

接下来我们需要注意这些临时文件的什么地方呢？

③排查对象：

查看temp文件夹PE文件（exe，dll，sys），或者特别大的temp文件。

可疑文件可以放到微步云沙箱去验证

比如我的目录下，暂时没找到不认识的exe或者dll文件

3.浏览器分析

如果服务器被攻击者拿下了，攻击者可能会使用服务器的流浪其进行访问网站去下载一些东西，可以排查浏览器看是否被下载恶意代码了。

①浏览器浏览痕迹查看

就是历史记录，应该没有人不会看吧。

②浏览器文件下载记录查看

③浏览器cookie信息查看。

4.文件属性时间分析

我们主要是看创建时间和修改时间。

如果文件的修改时间早于创建时间，那么异常的时间很可能是攻击者进行恶意修改的不正查文件。

5.最近打开文件

也有两种方法打开。

①运行指令

WIN+R->%UserProfile%/Recent

②系统文件

文件路径

C:\Users\cyh17\Recent

6.可疑进程发现与关闭。

可以查看木马与外部进行通信的连接状态，然后找到对应的进程ID，然后关闭进程ID进行断开木马的通信连接。

netstat -ano | find "ESTABLISHED"  查看网络建立连接的状态
tasklist /svc | find "PID" 查看具体PID进程对应的程序
taskkill /PID xxx /T 关闭进程

7.windows分析排查-系统信息排查

①异常计划任务排查

一般攻击设定了计划任务在固定时间内执行恶意代码，可以达到隐藏的效果，所以我们使用schtasks命令可以对计划任务进行管理，查看计算机中保存的计划任务

或者我们可以从任务管理器中查看

②隐藏账户的发现与删除

隐藏账户可能是攻击者入侵服务器后为了能长时间保持对计算机的访问，所以建立了一个隐藏账户。

我们可以通过下面的指令去查看目前的账户有哪些

net user

这种是比较容易看出来的隐藏账户，有种难看出来的是在注册表里面。可能你一开始不能看到sam下面还有其他的目录，我们需要改变我们的权限。然后重新启动。

然后查看下面的目录下面的结果

计算机\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names

参考门：