2024Windows应急响应手册.docx

Windows应急响应手册目录1 .Windows的应急事件分类32 .通用排查思路32.1 直接检查相关日志42.2 检查账户192.3 检查网络连接212.4 检查进程222.5 检查开机启动和运行服务262.6 检查计划任务292.7 检查文件302.8 检查注册表313 .特定事件痕迹检查323.1 挖矿病毒应急333.2 勒索病毒事件应急333.3 应急示例344 .SysinternalsUtilities354.1 常用工具介绍354.2 TroubleshootingwiththeWindowsSysinternalsTools2ndEdition425 .其他431 .Windows的应急事件分类Windows系统的应急事件，按照处理的方式，可分为下面几种类别： 病毒、木马、蠕虫事件 Web服务器入侵事件或第三方服务入侵事件系统入侵事件，如利用Windows的漏洞攻击入侵系统、利用弱口令入侵、利用其他服务的漏洞入侵，跟Web入侵有所区别，Web入侵需要对Web日志进行分析，系统入侵只能查看Windows的事件日志。 网络攻击事件（DDOS、ARP、DNS劫持等）2 .通用排查思路入侵肯定会留下痕迹，另外重点强调的是不要一上来就各种查查查，问清楚谁在什么时间发现的主机异常情况，异常的现象是什么，受害用户做了什么样的紧急处理。问清楚主机异常情况后，需要动脑考虑为什么会产生某种异常，从现象反推可能的入侵思路，再考虑会在Windows主机上可能留下的痕迹，最后才是排除各种可能，确定入侵的过程。获取Windows的基本信息，如机器名称、操作系统版本、OS安装时间、启动时间、域名、补丁安装情况，使用SySteminf。命令获取。运行msinfo32也可以杳看计算机的详细信息。2.1 直接检查相关日志任何操作（人、程序、进程）都会导致产生相关日志2.1.1 Windows日志简介日志记录了系统中硬件、软件和系统问题的信息，同时还监视着系统中发生的事件。当服务器被入侵或者系统（应用）出现问题时，管理员可以根据日志迅速定位问题的关键，再快速处理问题，从而极大地提高工作效率和服务器的安全性。WiddOWS通过自带事件查看器管理日志，使用命令eventvwr.msc打开，或者Windows10搜索框直接搜索事件查看器，或者使用开始菜单windovs管理工具事件查看器打开。文件(F)三fT（八）SB(V)MK（三）名粽大小言理的16.50920.00MBSr营理用24,41920.00MBSetup报作2168KB系娩好理的10,4785.07MBForwardedEvents里作068KBWindows日否Qj事件壹告H(种).目钊赃*4Windows日志E应用程序田安全jSetup用时jForwardedEvenHP3宏用傕序顺务日不日InternetExplorer>一MicrosoftjiMicrosoftOfficeAlerts£WindowsPowerSheII£在初莒理事基氐型4B牛.；，订阊Windows日志位置Windows2000Server2003WindowsXP%SystemRoot%System32Config*.evtWindowsVista710Server2008:%SystemRoot%System32winevt1.ogs*.evtx日志审核策略，使用命令auditpol/get/category:*PSC:WIND0WSsystem32>auditpol/get/category:*系统审核策略类别/子类别设苣系统安全系统扩展无审核系统完整性成功和失败IPsec驱动程序无审核其他系统事件成功和失败安全状您更改成功登录/注销登录成功注销成功帐户锁定成功IPsec主模式无审核IPsec快速模式无审核IPsec扩展模式无审核特殊登录成功其他受录/注销事件无审核网络策略服务器成功和失败用户/设备声明无审核组成员身份无审核对象访问文件系统无审核注册表无审核内核对象无审核SAM无审核证书服务无审核已生成应用程序无审核句柄操作无审核文件共享无审核其他一些可能会用到的事件日志的位置:C:WindowsSystem32WDI1.ogFilesBootCKC1.etIShutdownCKC1.etl Secondary1.ogOnCKC1.etl WdiContext.etl.<#>C:WindowsSyster32WDI<guid><guid>snapshot.etl<guid><guid>C:WindowsSystem321.ogFilesWMI Wifi.etl 1.wNet1.og.etlC:WindowsSystem32SleepStudy UserNOtPresentSession.etl abnormal-shutdown-<yyyy>-<mm>-<hh>-<mm>-<ss>.etl<ss><mm><hh><mm><yyyy>user-not-present-trace-<yyyy>-<mm>-<hh>-<mm>-<ss>.etl<ss><mm><hh><mm><yyyy>ScreenOnPowerStudyTraceSession-<yyyy>-<mm>-<hh>-<mm>-<ss>.etl<ss><mm><hh><mm><yyyy> Windows日志 系统日志系统日志包含WindoWS系统组件记录的事件。例如，系统日志中会记录在启动过程中加载驱动程序或其他系统组件失败。系统组件所记录的事件类型由WindoWS预先确定。 应用程序日志应用程序日志包含由应用程序或程序记录的事件。例如，数据库程序可在应用程序日志中记录文件错误。程序开发人员决定记录哪些事件。 安全日志安全日志包含诸如有效和无效的登录尝试等事件，以及与资源使用相关的事件，如创建、打开或删除文件或其他对象。管理员可以指定在安全日志中记录什么事件。例如，如果已启用登录审核，则安全日志将记录对系统的登录尝试。关于安全日志登录部分的事件ID和登录类型代码的含义见下面2个表。受网B:安全IOSYSTEMDESKTOPPRMO7465帐户域:WORKGROUP0x3E7登青S电登录类型受限制的管理受困：则帐户；百度升的今:星新蔓急安全IOSYSTEM帐户名称：SYSTEM乃W:NTAUTHORITY日志名称(M):安全*(三):MicrosoftWindowsSeCUri3WlW(D):2018/7/2721:2042事件ID(E):4624J(Y):1.ogon飒U：僖电三T(K):宁刖劭用户(U)：跄计IWUR)：DESKTOP-PRM0746作代码(O):信且更多信且：¾ME志联FJ:WJ(P)常用事件ID含义EventID(2000XP2003)EventID(Vista7820082012)描述5284624成功登录5294625失败登录6804776成功/失败的账户认证6244720创建用户6364732添加用户到启用安全性的本地组中6324728添加用户到启用安全性的全局组中29347030服务创建错误29447040IPSEC服务服务的启动类型已从禁用更改为自动启动29497045服务创建登录类型ID成功/失败登录事件提供的有用信息之一是用户/进程尝试登录（登录类型），但Windows将此信息显示为数字，下面是数字和对应的说明:登录类型登录类型描述2Interactive用户登录到本机3Network用户或计算手机从网络登录到本机，如果网络共享，netuse访问网络共享，netview查看网络共享4Batch批处理登录类型，无需用户干预5Service服务控制管理器登录7Unlock用户解锁主机8NetworkCIeartext用户从网络登录到此计算机，用户密码用非哈希的形9NewCredentiaIs进程或线程克隆了其当前令牌，但为出站连接指定了10Remotelnteractive使用终端服务或远程桌面连接登录11Cachedlnteractive用户使用本地存储在计算机上的凭据登录到计算机（可能无法验证凭据），如主机不能连接域控，以前使登录过这台主机，再登录就会产生这样日志12CachedRemoteInteractive与Remotelnteractive相同，内部用于审计目的13CachedUnIock登录尝试解锁账户类型用户账户.计算机账户：此帐户类型表示每个主机。此帐户类型的名称以字符"$"结尾。例如，"DESKT0P-SHCTJ71.$"是计算机帐户的名称。服务账户：每个服务帐户都创建为特定服务的所有者。例如，IUSR是IIS的所有者，而krbtgt是作为密钥分发中心一部分的服务的所有者。应用程序和服务日志应用程序和服务日志是一种新类别的事件日志。这些日志存储来自单个应用程序或组件的事件，而非可能影响整个系统的事件。查看PowerSheII的日志Microsoft->Windows->PowerShell->OPtions2.1.2远程登录事件攻击者可能造成的远程登录事件RDP攻击者使用RDP远程登录受害者计算机，源主机和目的主机都会生成相应事件。重要的事件ID（安全日志，Security.evtx） 4624：账户成功登录 4648：使用明文凭证尝试登录 4778：重新连接到一台Windows主机的会话4779：断开到一台Windows主机的会话远程连接日志（应用程序和服务日志>MicrosoftWindows>TerminalServices->RemoteConnectionManager->Operational）,重要事件ID和含义： 1149：用户认证成功 21：远程桌面服务：会话登录成功 24：远程桌面服务：会话已断开连接 25：远程桌面服务：会话重新连接成功远程连接日志关注RemoteInteractive（10）ftCachedRemoteInteractive（12）表明使用了RDP,因为这些登录类型专用于RDP使用。计划任务和AT关注的事件ID 4624：账户成功登录计划任务事件Microso