Windows环境黑客入侵应急与排查 _黑客入侵

1 文件分析
1.1 临时目录排查
黑客往往可能将病毒放在临时目录（tmp/temp），或者将病毒相关文件释放到临时目录，因此需要检查临时目录是否存在异常文件。
假设系统盘在C盘，则通常情况下的临时目录如下：
C:Users[用户名]Local SettingsTemp
C:Documents and Settings[用户名]Local SettingsTemp
C:Users[用户名]桌面
C:Documents and Settings[用户名]桌面
C:Users[用户名]Local SettingsTemporary Internet Files
C:Documents and Settings[用户名]Local SettingsTemporary Internet Files
注：[用户名] 根据实际环境用户得出，常见用户名是Administrator，建议所有用户都检查一下。
1.2 浏览器相关文件
黑客可能通过浏览器下载恶意文件，或者盗取用户信息，因此需要检查下浏览器的历史访问记录、文件下载记录、cookie信息，对应相关文件目录如下：
C:Users[用户名]Cookies
C:Documents and Settings[用户名]Cookies
C:Users[用户名]Local SettingsHistory
C:Documents and Settings[用户名]Local SettingsHistory
C:Users[用户名]Local SettingsTemporary Internet Files
C:Documents and Settings[用户名]Local SettingsTemporary Internet Files
1.3 最近打开文件
检查下最近打开了哪些文件，可疑文件有可能就在最近打开的文件中，打开以下这些目录即可看到：
C:Users[用户名]Recent
C:Documents and Settings[用户名]Recent
1.4 文件修改时间
可以根据文件夹内文件列表时间进行排序，查找可疑文件。一般情况下，修改时间越近的文件越可疑。当然，黑客也有可能修改”修改日期“ 。

文章插图

注：点击”修改日期“，使之按最近修改时间排序，优先检查下”修改日期“最近的文件。
1.5 System32目录与hosts文件
System32也是常见的病毒释放目录，因此也要检查下该目录。hosts文件是系统配置文件，用于本地DNS查询的域名设置，可以强制将某个域名对应到某个IP上，因此需要检查hosts文件有没有被黑客恶意篡改。
C:windowsSystem32
C:WindowsSystem32drivershosts

文章插图

这里以hosts文件为例，如上图，检查3种异常：
1.知名站点，检查对应IP是否真的归属该站点，防止”钓鱼“
2.未知站点，检查该域名和IP是否恶意
3.无法访问的安全站点，即IP是否指向127.0.0.1、0.0.0.0等本地地址、无效地址
2 网络行为排查
2.1 重要辅助站点
1. https://www.virustotal.com/ , 国外知名安全站点，需翻墙，可查询文件MD5、IP、域名、URL是否恶意，也可上传文件进行病毒扫描。
2. https://x.threatbook.cn/ , 国内威胁情报站点，可查询文件MD5、IP、域名、URL是否恶意，也可上传文件进行病毒扫描。
3. http://beian.cndns.com/，国内站点备案查询，所有有企业备案的国内站点可认为是可信站点。
4. http://www.alexa.com/，全球站点排行查询，top100万的站点可认为是可信站点（国外站点没有备案这一说法）。
5. google与Baidu等搜索引擎，输入文件MD5/IP/域名，有时候可以查询到对应病毒信息。
2.2 网络连接排查
使用命令 netstat -ano 查看当前的网络连接，排查可疑的服务、端口，外连的IP 。

文章插图

如发现netstat定位出的pid有问题，可再通过tasklist命令进一步追踪该可疑程序。
2.3 流量分析
流量分析可以使用Wireshark，主要分析下当前主机访问了哪些域名、URL、服务，或者有哪些外网IP在访问本地主机的哪些端口、服务和目录，又使用了何种协议等等。
例如，使用Wireshark观察到，主机访问了sjb555.3322.org这种动态域名，即可粗略猜测这是一个C&C服务器。