主机应急响应与电子取证的经验分享

0×4 进程

病毒文件在系统中运行必定依附于exe可履行法度榜样,windows傍边简单的将法度榜样分成三大年夜类:

1. Windows核心进程// 如

2.系统进程// svchost.exe(Windows办事主进程) 、lsm.exe(本地回话治理器)

3.用户进程 // qq.exe(腾讯QQ主法度榜样) 、chrom.exe(Google浏览器)

主要有三种模式在系统中运行:

1.病毒自己的exe法度榜样

2. 注入到系统法度榜样

3. 其他要领

这里可以应用PChunter对象对进程进行查看识别,如下的这个Wmipvrse.exe无厂商署名且名字有点诡异

跟着主机安然的问题日渐突显,挖矿打单后门等病毒隐蔽伎俩越来越多种多样,仅仅寄托传统的安然对象不能完全查杀出相关恶意法度榜样安然事故具有突发性,繁杂性与专业性,基于windows的一些运行机制人工排查安然事故必要从多个方面去反省与清除,抛砖引玉提出以下思路供参考

0×1 反省思路

恶意法度榜样本身有收集行径,内存一定有其二进制代码,它要么是进程的 DLL /如斯模块,平日为了保活,它极可能还有自己的启动项,收集心跳包

总之,可以归结为如下 4 点要素:流量,内存,进程,启动项再加上外部信息,如要挟情报,就可以形成对照完备的证据链

0X2 病毒查杀

定位到可能存在恶意软件的主机后,起起首应用杀毒软件或者 EDR 对象进行通盘扫描查杀一些简单常见热门的病毒一样平常都被收录在热门的特性库里面,扫描出来就可以以最小的光阴资源识别与办理恶意文件

根据一些杀毒软件的报警就可以标识出恶意软件的类型与名字,如下图

为此一个兰塞姆(打单)类型的Wannacry(想哭)家族的病毒样本,对付此类环境每每可以直接一键处置惩罚较为简单

0×3 流量

无论是挖矿病毒,僵尸收集,肉鸡, CC 办事器,内网传播等恶意行径都必要与其他主机进行通信,则本地必须调用响应的网站链接包括本地地址,本地端口,远程地址,远程端口等操作假如远程地址为一个恶意网站,便可以随意马虎获取到系统的中毒进程,方便快捷的定位问题

反省系统的连接环境应用 netstat 敕令或者借助一些成熟的对象如PChunter ,TCPViewer 有利于加倍直不雅的查看进程环境

经由过程此图可以发明 mssecsvc.exe 对大年夜量随机的外网IP 的445 端口进行SYN 包的探测,这是Wannacry 病毒的传播历程

对付一些其他的通信历程流量,我们每每必要经由过程其他要领来识别,这里保举的Wireshark 的抓包对象进行抓包识别恶意流量,以下为Nmap的的端口扫描的数据包

老例要领可以经由过程百度查看一下,或者谋略一下法度榜样的Md5数值之后上Virustotal进行进一步确认,经由过程一些网友的评论与一些要挟环境每每可以判断出一些可疑的文件

应用对象谋略一下文件的hash数值,建议提取Md5款式如下:

D2A4D1247752FB186841FF4C2985341B

然后上virustotal进行查看网址如下:

平台能够筹备识别,并提示类型Misc.Riskware.BitCoinMiner(比特币挖矿机),英语不好可百度之

还有一些其他类似于dll注入、PE文件注入、无文件进击、驱动注入、MBR感染等其他要领这里不多做评论争论,特殊情景必要特殊处置惩罚

0×5 自启动项

病毒为了实现保活,弗成避免会添加或改动启动项、办事变,是以启动项也是异常紧张的入手查询造访点黑客为了维持病毒能够开机启动、登录启动或者准时启动,平日会有响应的启动项

这里可以经由过程借助对象autoruns进行查看,主要反省点为开机自启动与计划义务以及一些系统办事

比如这个注册表

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run处的有一个冒充成Chrome的C:\Windows\servicecrsssr.vbs的启动项,便是病毒的自己添加的,定位到路径后直接删除

0×6 内存

恶意法度榜样运行在windows系统傍边一定会加载到系统内存傍边,法度榜样可以经由过程获取到系统进程与用户进程的PID之后,必要根据系统的Pid导入系统傍边的PE文件进行确认,这里应用pd进行dump文件

[1] [2]下一页

下载连接如下:

https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump

这里输入pd64.exe-pid可疑进程pid-o 输前道路:

后续可以进一步应用IDA(交互式反汇编器专业版人们常称其为IDA Pro,或简称为IDA)或者ollydbg(od反汇编对象)对PE进行阐发导出的文件列表如下:

0×7 总结

1.选择相宜的对象可以削减大年夜量的资源,正人生非异也 善假于物也

2.心上学,事上练、知行合一、少度娘、多谷歌

上一页[1] [2]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包