Windows应急响应

https://mp.weixin.qq.com/s/K7Xv-72TaJ9KGBCUJqqJcA
https://mp.weixin.qq.com/s/u-BmmCyTPlh_wCMrkzaFkw

账户安全排查

https://blog.csdn.net/qq_55675216/article/details/125171539

net  user         查看用户
net user username 查看用户登录情况

lusrmgr.msc 打开本地用户和组 或者 [控制面板]->[用户账户]。确保只有授权用户拥有系统访问权限，及时禁用或删除未授权的用户账号，以防止未经授权的访问。

端口、进程、服务和启动项

端口进程

查看目前连接：
netstat  -ano

一般是查看已经成功建立的连接：
netstat -ano | findstr "ESTABLISHED"

根据pid定位程序名称
tasklist  | findstr  "pid"

/svc参数用于显示与每个进程相关联的服务信息。
tasklist /svc | findstr pid


根据wmic process获取进程的全路径[任务管理器也可以定位到进程路径]
wmic process | findstr [进程名称]

利用wmic查看进程执行时的命令
Wmic process where name='irefox.exe' get name,Caption,executablepath,CommandLine ,processid,ParentProcessId  /value

msinfo32,使用系统信息工具查看系统进程信息，排查可疑进程。也可以借助进程管理工具如Process Explorer，进一步检查系统进程

服务

查看系统服务：
services.msc

关闭服务：
sc stop [服务名称]

删除服务：
sc delete [服务名称]

启动项

msconfig

查看注册表是否有异常启动项
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

计划任务

• C:\Windows\System32\Tasks
  C:\Windows\SysWOW64\Tasks
  C:\Windows\tasks\
• taskschd.msc
• schtasks
• at
• gpedit.msc
• 计算机管理->计划任务
• 1、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks
  2、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree

删除任务计划
建议删除任务计划时以管理员登录
schTasks /Delete /TN 任务计划名称

隐藏计划任务创建
https://blog.csdn.net/weixin_44893633/article/details/136168138
创建一个普通计划任务

schtasks /create /TN Calc /SC MINUTE /MO 3 /TR "c:\windows\system32\calc.exe" /U Administrator /F

    /TN   taskname     以路径\名称形式指定
                       对此计划任务进行唯一标识的字符串。
                     
	/SC   schedule     指定计划频率。
                       有效计划任务:  MINUTE、 HOURLY、DAILY、WEEKLY、MONTHLY, ONCE, 
                       ONSTART, ONLOGON, ONIDLE, ONEVENT.
                       
	/MO   modifier     改进计划类型以允许更好地控制计划重复
                       周期。
                       
    /TR   taskrun      指定在这个计划时间运行的程序的路径
                       和文件名。
                       
	/F                 如果指定的任务已经存在，则强制创建
                       任务并抑制警告。

    /RU  username      指定任务在其下运行的“运行方式”用户
                       帐户(用户上下文)。

此时我们可以通过删除注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\下的SD记录，隐藏计划任务。

reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Calc" /v SD /f

隐藏计划任务的检测和清除
1、查看恶意进程父进程是否为计划任务进程，计划任务进程一般为svchost.exe -k netsvcs：

2、查看日志文件Microsoft-Windows-TaskScheduler%4Operational.evtx中事件ID 200/201/102关于计划任务的执行和完成情况：

3、检查在C:\windows\system32\Tasks下是否存在执行恶意文件的计划任务配置文件，有的话提取相关证据后删除
4、检查注册表如下2个键：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree
在Tree下面找到恶意计划任务名称后，根据ID的值在TaskCache\Tasks下面找实际的配置数据。提取相关证据后删除上面2个记录。

异常文件

1、临时文件夹
各个盘下的temp(tmp)相关目录（windows产生的临时文件）下查看有无异常文件

2、最近文件
查看最近打开的文件，运行窗口中输入"%UserProfile%\Recent"

3、查看C:\Documents and Settings，C:\Users下是否存在可疑用户或文件

4、查看浏览器浏览记录

5、修改时间在创建时间之前的为可疑文件

6、查看回收站

日志

eventvwr.msc

操作系统日志

登录成功的所有事件：
LogParser.exe -i:EVT –o:DATAGRID “SELECT * FROM c:\Security.evtx where EventID=4624″

指定登录时间范围的事件：
LogParser.exe -i:EVT –o:DATAGRID “SELECT * FROM c:\Security.evtx where TimeGenerated>’2018- 06-19 23:32:11′ and TimeGenerated<’2018-06-20 23:34:00′ and EventID=4624″

提取登录成功的用户名和IP：
LogParser.exe -i:EVT –o:DATAGRID “SELECT EXTRACT_TOKEN(Message,13,’ ‘) as EventType,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,’|') as Username,EXTRACT_TOKEN(Message,38,’ ‘) as Loginip FROM c:\Security.evtx where EventID=4624″

登录失败的所有事件：
LogParser.exe -i:EVT –o:DATAGRID “SELECT * FROM c:\Security.evtx where EventID=4625″

系统历史开关机记录：
LogParser.exe -i:EVT –o:DATAGRID “SELECT TimeGenerated,EventID,Message FROM c:\System.evtx where EventID=6005 or EventID=6006″