1.1.3 应急支持接口
1.1.3.1 接口部门
技术支持部 服务支持组
1.1.3.2 接口人
服务支持组
1.2 应急工具包
1.2.1 Windows系统快速信息收集
在应急响应过程中,对Windows系统的检查相对较多地依赖于第三方工具,而在没有可用第三方检查工具或由于某些特殊原因而无法在被检查系统上运行其他工具时,可参考本节,以便能在借助系统自带工具的情况下快速收集信息。
1.2.1.1 系统信息
开始 – 程序 – 附件 – 系统工具 – 系统信息(或直接 开始—运行 – winmsd ) 在系统信息的系统摘要中可获取基本的系统信息,可通过截图或保存为NFO文件
- 3 - 1.2.1.2 用户信息
命令行方式:net user,可直接收集用户信息,若需查看某个用户的详细信息,可使用命令net user username
图形界面:开始 – 运行 – compmgmt.msc – 本地用户和组 – 用户
注册表:开始 – 运行 – regedit(Windows 2000系统需运行regedt32),打开HKEY_LOCAL_MACHINE\\SAM,为该项添加权限(如下图)
添加权限完成后按F5刷新即可访问子项。
打开:HKEY_LOCAL_MACHINE\\SAM\\SAM\\Domains\\Account\\Users
在此项下,导出所有以00000开头的项,将所有导出项与000001F4(该项对应administrator用户)导出内容做比较,若其中“F”值内容相同,则可能为克隆用户
1.2.1.3 进程、服务、驱动信息
进程:打开系统信息工具,依次打开 软件环境 – 正在运行任务,在此可查看进程名及其对应的执行文件
- 4 - 服务:打开系统信息工具,依次打开 软件环境 – 服务,在此可查看服务的启动情况及其对应的启动文件
驱动:打开系统信息工具,依次打开 软件环境 – 系统驱动程序,在此可查看驱动的启动情况及其对应的驱动文件
模块:打开系统信息工具,依次打开 软件环境 – 加载的模块,在此可查看被加载的DLL文件及其对应的文件路径
启动项:打开系统信息工具,依次打开 软件环境 – 启动程序,在此查看启动程序名及其对应的启动文件路径
若需对以上信息进行保存,可保存为NFO文件,或选择导出菜单导出为文本文件。
1.2.1.4 日志与文件
查看系统日志:开始 – 运行 – eventvwr,选择要查看的日志类型
若需导出系统日志,可右键选择要收集的日志类型,选择“另存日志文件”,建议导出为csv文件,方便快速统计。
其他程序日志:
IIS日志:IIS日志默认存储于%systemroot%\\system32\\LogFiles\\,若被检测主机为虚拟主机,为判断每个虚拟站点对应的IIS日志,可使用IIS管理脚本findweb.vbs
命令格式为 cscript findweb.vbs test2 输出结果如下
Web Site Number = 4 Web Site Description = test2 Hostname = test2.aaa.com
- 5 - Port = 80
IP Address = test2.aaa.com
由输出判断该站点对应的日志路径为 %systemroot%\\system32\\LogFiles\\W3SVC4 Apache日志:apache for win32的日志默认存储于其安装目录下的logs目录中,其中access.log为访问日志,若该日志不存在或较长时间未出现过更新,则日志路径可能被修改,应查看httpd.conf文件中的下列字段
ErrorLog logs/error.log
CustomLog logs/access.log common
根据CustomLog字段指定的路径,可获取真实的日志文件位置。
1.2.1.5 网络信息
Windows 2000下可使用netstat –an命令收集网络连接信息。 Windows XP以后版本中可使用netstat –ano命令收集网络信息。
1.2.1.6 补丁信息
Windows 2000系统中,收集补丁信息可直接访问注册表路径
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Updates,该路径下存储了系统及Windows 组件的补丁安装信息。
Windows XP以后版本的系统中,可使用WMIC命令收集补丁信息,运行命令 wmic qfe 注:为避免输出过多信息,可使用命令 wmic qfe get Description, HotFixID 或 调整cmd窗口的宽度、高度及高和宽的缓冲区大小。
1.2.2 Windows检测工具包
分类 用户检查 LP_Check Windows 应急工具 进程及启动项 process explorer autoruns Process monitor 用于检测克隆帐号的工具 进程检查和管理工具 启动项检查工具 进程监视工具 命令 & 工具 & 文件 compmgmt.msc 相关说明 系统自带“计算机管理”
- 6 - wsyscheck winmsd 服务、模块及驱动 listdlls streams sigverif Regmon 日志与文件 Filemon eventvwr logParser Tcpview 网络连接 netstat -ano Wireshark sniffer分析 sniffer pro windump Icesword 恶意代码分析工具 Rootkit Unhooker 进程、服务、模块综合检查工具 系统自带“系统信息” 模块检查工具 文件流数据检查工具 文件签名验证工具 注册表监视工具 文件监视工具 系统自带“事件查看器“ 日志分析工具 进程与网络连接查看工具 系统自带 sniffer (需安装WinPcap) Windows Rootkit检测工具 Sysprot Rootkit Unhooker 1.2.3 UNIX/Linux检测工具包
分类 命令 & 工具 & 文件 cat /etc/passwd 用户检查 cat /etc/shadow 进程及启动项 UNIX/Linux 应急工具 服务及模块 chkconfig –list(RedHat) ls /etc/rc*.d/S* find / -perm -004000 –type 日志与文件 f –print md5sum - 7 - 相关说明 是否有可疑用户及用户登录shell配置是否正确 是否存在空口令帐号 正在运行的进程信息 列出每个服务在各运行级别下是否开机自启动 列出所有运行级别下启动的服务 搜索硬盘中所有SUID文件 检查文件的MD5值 ps -eaf