存在的漏洞利用分析
1.systeminfo
分析补丁安装等情况,进行威胁分析
在线工具
2.文件
1、 查看用户目录,是否有新建用户目录:C:\Users
2、单击【开始】>【运行】,输入%UserProfile%\Recent,分析最近打开的可疑文件。
3、在服务器各个目录,可根据文件夹内文件列表时间进行排序,查找可疑文件。
4、回收站、浏览器下载目录、浏览器历史记录
检查系统账号安全
1、可疑账号
1、net localgroup administrators 、用户管理、用户登录界面
2、命令:lusrmgr.msc
2、隐藏、克隆账号
1、regedit打开注册表 ,查看管理员对应键值。
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\Administrator
2、使用D盾_web查杀工具
net user sysuser1$ /delete
检查 系统端口、进程
1、netstat -ano 查看目前的网络连接,定位可疑的ESTABLISHED
2、根据netstat 定位出的pid,再通过tasklist命令进行进程定位 tasklist | findstr “PID”
检查异常进程
1、开始-运行-输入msinfo32,依次点击“软件环境→正在运行任务”就可以查看到进程的 详细信息,比如进程路径、进程ID、文件创建日期、启动时间等
2、打开D盾_web查杀工具,进程查看,关注没有签名信息的进程。
3、通过微软官方提供的 Process Explorer 等工具进行排查 。
查看可疑的进程及其子进程。重点关注以下内容:
没有签名验证信息的进程
没有描述信息的进程
进程的属主
进程的路径是否合法
CPU或内存资源占用长时间过高的进程
启动项、计划任务、服 务
启动程序
命令:msconfig,查看是否存在命名异常的启动项目
命令:regedit,特别注意以下注册表项: HKEY_CURRENT_USER\Software\Micorsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runo nce HKEY_CURRENT_USER\Environment(Logon scripts)
利用工具,如电脑管家.D盾都行
服务
命令:services.msc
注意服务状态和启动类型,检查是否有异常服务
Windows事件日志
系统日志 默认位置: %SystemRoot%\System32\Winevt\Logs\System.evtx
安全日志 默认位置: %SystemRoot%\System32\Winevt\Logs\Security.evtx
| 事件ID | 事件名称 | 触发场景 | 日志关键字段示例 | 安全意义 |
|---|---|---|---|---|
| 4624 | 账户登录成功 | - 本地交互登录 - 网络共享登录 - RDP远程登录 | 目标用户名、源网络地址、登录类型(如 3=网络,10=远程交互) | 需监控异常时间/地点登录,识别横向移动或账户劫持 |
| 4625 | 账户登录失败 | - 密码错误 - 账户不存在 - 账户被锁定 | 目标用户名、失败原因(如 0xC0000064=用户名不存在)、登录进程(如 NtLmSsp) | 可能为暴力破解尝试,需设置阈值警报(如单账户5分钟内失败>10次) |
| 4634 | 账户注销成功 | - 用户主动注销 - 会话超时自动断开 | 目标用户名、会话ID | 结合登录事件分析异常会话时长(如管理员账户仅登录2分钟) |
| 4647 | 用户启动注销 | - 用户手动注销 - 运行 logoff 命令 | 发起进程(如 explorer.exe)、目标用户名 | 检测异常进程触发的注销行为(如恶意软件终止会话) |
| 4672 | 超级用户权限分配 | - 使用管理员账户登录 - 运行 runas /user:Administrator | 特权列表(如 SeSecurityPrivilege)、目标用户名 | 需严格监控特权账户的使用,防止权限滥用 |
| 4720 | 用户账户创建 | - 通过 net user 创建账户- AD域控新建用户 | 新账户名、创建者账户、SID | 检测未授权的账户创建行为(如攻击者创建隐藏后门账户) |
登录类型
| 类型值 | 说明 | 常见场景 |
|---|---|---|
| 2 | 交互式登录 | 本地键盘登录 |
| 3 | 网络登录 | 访问共享文件夹或打印机 |
| 4 | 批处理登录 | 计划任务执行 |
| 5 | 服务登录 | Windows服务启动 |
| 7 | 解锁会话 | 屏幕解锁 |
| 10 | 远程交互登录 | RDP或远程PowerShell连接 |
| 错误代码 | 说明 |
|---|---|
| 0xC0000064 | 用户名不存在 |
| 0xC000006A | 用户名正确但密码错误 |
| 0xC0000234 | 账户被锁定 |
| 0xC0000072 | 账户已过期 |
Comments NOTHING