前沿拓展：

win10退出遠程

1、第一在切換虛擬桌面的時候，都是點擊Windows10任務(wù)欄的“來自任務(wù)視圖”按鈕。

2、在彈出的窗口中選擇需要切

Xp/2003

540

3

**B遠程登錄成功

2008/2012/2016/win7/win8/win10

529

3

**B遠程登錄失敗

2008/2012/2016/win7/win8/win10

4624

3

**B遠程登錄成功

2008/2012/2016/win7/win8/win10

4625

3

**B遠程登錄失敗

六、啟動項排查

黑客為了保持**能夠開機啟動、登錄啟動或者定時啟動，通常會有相應(yīng)的啟動項，因此有必要找出異常啟動項，并刪除之。啟動項的排查，這里引入一個非常好用的工具，工具名字Autoruns（官網(wǎng)www.sysinternals.com）。

1、自啟動項

autoruns查看

注冊表查看

**啟動項

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun

一次性啟動項，下次啟動會自動刪除

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnce

32位程序啟動項

HKLMSOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRun

通過以下路徑放置程序也可以自啟動程序

%appdata%MicrosoftWindowsStart MenuProgramsStartup

2、任務(wù)計劃

autoruns查看

微軟自帶工具

taskschd.msc可啟動系統(tǒng)自帶任務(wù)計劃程序，可以查看任務(wù)計劃具體**作，顯示所有正在運行的任務(wù)，并且可以開啟任務(wù)歷史記錄。

注冊表查看

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionScheduleTaskCacheTree

有些任務(wù)計劃做了隱藏可通過注冊表查看，這里任務(wù)計劃只有名稱，如果想知道任務(wù)計劃執(zhí)行內(nèi)容，可以結(jié)合任務(wù)計劃歷史記錄日志看判斷。

服務(wù)排查

通過tasklist /svc，可以查看每個進程所對應(yīng)的PID和服務(wù)

使用autoruns查看

注冊表查看

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices存儲著所有的服務(wù)啟動項

七、賬戶排查

查看用戶最后一次登錄，修改密碼時間，以及賬戶是否啟動。

net user xxx

通過PCHunter等工具可以查看隱藏用戶，如添加$符號的隱藏賬號，以及克隆賬號。

八、宏**分析處置

現(xiàn)象：

EDR等殺軟報宏**，**名提示類似于W97M、VBA、MSWor、Macro。

分析過程：

根據(jù)文件后綴其實就能看出，該word文檔是帶有宏代碼的，m即為macro。

為了分析腳本內(nèi)容，打開文件就會觸發(fā)腳本運行，但如果禁用宏的話，打開文檔是看不到腳本內(nèi)容的。為了以靜態(tài)方式提取樣本，這里會使用到一個分析程序oledump.py(https://github.com/decalage2/oledump-contrib)

oledump.py是一個用于分析OLE文件（復(fù)合文件二進制格式）的程序，而word、excel、ppt等文檔是OLE格式文件的，可以用它來提取宏代碼。

先進行文件基礎(chǔ)分析，可以看到A3這段數(shù)據(jù)被標(biāo)記為“M”，“M”即表示Macro，說明這段數(shù)據(jù)是帶有VBA代碼的。

python oledump.py SSL.docm

接下來我們就需要將這段VBA代碼提取出來，執(zhí)行以下命令，可以看到VBA代碼就被提取出來了。我們把他重定向到一個文件里即可。

python oledump.py -s A3 -v SSL.docm

這段代碼其實比較簡單。

1.先判斷**作系統(tǒng)位數(shù)設(shè)置不同路徑的rundll32.exe，第二通過CreateProcessA啟動rundll32.exe。

2.通過VirtualAllocEx在rundll32進程里申請一段內(nèi)存空間。

3.通過WriteProces**emory將myArray數(shù)組的內(nèi)容，按字節(jié)寫入到剛才申請的內(nèi)存空間。

4.通過CreateRemoteThread在rundll32進程創(chuàng)建遠程線程，入口點為剛才申請的內(nèi)存空間首地址，并啟動該線程。

綜上所述，該代碼為遠程注入惡意代碼到其他進程，可以判斷為**。

九、勒索**

勒索**特征

1、文件被加密成統(tǒng)一后綴，無法使用。

2、桌面存在勒索信息文件，或勒索信息背景。

勒索信息文件里的一串二進制字符串，實際上是加密密鑰，但它被其他算法又加密了一層。

加密原理

1.常見的勒索**加密算法為RSA+AES。

2.勒索**運行時會隨機生成一串AES密鑰，用該密鑰來加密文件，加密結(jié)束后，使用RSA公鑰對AES密鑰進行加密，保存在本地。

3.解密需要**開發(fā)者提供RSA私鑰，解密本地AES密鑰文件，從而得到AES密鑰來解密系統(tǒng)數(shù)據(jù)。

所以別寄希望于逆向分析來解密

十、sy**on**

sy**on為windows提供了更強大的**功能，但遺憾的是sy**on只支持2008以后的系統(tǒng)。

sy**on安裝推薦xml文件下載鏈接

https://github.com/SwiftOnSecurity/sy**on-config

最常用的安裝方式

sy**on.exe -accepteula -i -n

但上述方式不支持DNS記錄，而且日志量會過大。

推薦安裝命令，使用上述git里的配置，可支持DNS記錄，并且可自行修改過濾器，記錄自己需要的。

Sy**on64.exe -accepteula -i z-AlphaVersion.xml

卸載

sy**on.exe -u

日志通過**查看器查看，因為sy**on的日志是以evtx格式存儲的。

具體**路徑為

應(yīng)用程序和服務(wù)日志-Microsoft-Windows-Sy**on-Operational

如下圖所示，或者你直接去C盤指定路徑查文件也行

如同windows自帶的系統(tǒng)日志，安全日志有**ID一樣，sy**on日志也有對應(yīng)的**ID，最新版本支持23種**。

Event ID 1: Process creation

Event ID 2: A process changed a file creation time

Event ID 3: Network connection

Event ID 4: Sy**on service state changed

Event ID 5: Process terminated

Event ID 6: Driver loaded

Event ID 7: Image loaded

Event ID 8: CreateRemoteThread

Event ID 9: RawAccessRead

Event ID 10: ProcessAccess

Event ID 11: FileCreate

Event ID 12: RegistryEvent (Object create and delete)

Event ID 13: RegistryEvent (Value Set)

Event ID 14: RegistryEvent (Key and Value Rename)

Event ID 15: FileCreateStreamHash

Event ID 17: PipeEvent (Pipe Created)

Event ID 18: PipeEvent (Pipe Connected)

Event ID 19: WmiEvent (WmiEventFilter activity detected)

Event ID 20: WmiEvent (WmiEventConsumer activity detected)

Event ID 21: WmiEvent (WmiEventConsumerToFilter activity detected)

Event ID 22: DNSEvent (DNS query)

Event ID 255: Error

案例

常用的有**ID 1，**進程創(chuàng)建，惡意進程的創(chuàng)建，包括他的父進程，PID，執(zhí)行命令等等。

之前遇到過一起，開啟會自動運行powershell，但查了啟動項，任務(wù)計劃，wmi都沒發(fā)現(xiàn)痕跡，苦苦無解，第二使用sy**on**進程創(chuàng)建，最終**是誰拉起了powershell，往上溯源找到是一個偽造成正常程序圖標(biāo)和后綴的link文件，存放在Startup目錄下，鏈接到存放在另一處的vbs腳本。

下圖即為進程創(chuàng)建**日志，可以看到幾個關(guān)鍵點，創(chuàng)建的進程，命令行，以及父進程

**ID3，**網(wǎng)絡(luò)連接，當(dāng)惡意程序外連CC服務(wù)器或者礦池等**作的時候，可以**到是哪個進程發(fā)起的連接。這邊也舉個例子，之前遇到一種**，當(dāng)你去用進程管理器或分析工具去查看時，該**會自動退出，防止被檢測到，并且隨機一段時間重啟，但態(tài)勢感知上發(fā)現(xiàn)確實有挖礦行為，使用sy**on**，當(dāng)他不定時運行時，即可捕捉到他連接礦池的行為，從而**到進程。

下圖為網(wǎng)絡(luò)連接**日志，可以看到網(wǎng)絡(luò)連接的五元組，和對應(yīng)的進程。

**ID22，是這次重磅推出的新功能，DNS查詢記錄，這功能讓應(yīng)急響應(yīng)人員可以很輕松的通過域名**到進程，并且你即使開啟了dnscache服務(wù)，也能**到原先進程。dnscache是一個緩存服務(wù)，簡單來講，就是會**其他進程進行dns解析，并且會緩存解析結(jié)果，下一次解析就不再發(fā)送請求，讀取緩存內(nèi)容返回給指定程序即可。所以大家使用內(nèi)存掃描工具，可能會**到dnscache服務(wù)進程。

在監(jiān)測設(shè)備上發(fā)現(xiàn)可疑域名解析時，通過這個功能，可以輕松**到發(fā)起解析的進程，從而進一步分析進程文件是否確實有問題。

如下圖所示，為dns查詢?nèi)罩?，會記錄解析域名和結(jié)果，以及對應(yīng)的進程PID和路徑。

拓展知識：

win10退出遠程

win10系統(tǒng)如何開啟或關(guān)閉遠程桌面

win10退出遠程

工具/原料

電腦
windows10**作系統(tǒng)
方法/步驟

在桌面上找到“此電腦”，右鍵選擇“屬性”

打開“屬性”窗口后，在左側(cè)欄找到并點擊“遠程設(shè)置”

在打開的窗口中，先將“允許遠程協(xié)助連接這臺計算機”前面的勾去掉，第二選擇下面的“不允許遠程連接到此計算機”，最后點擊確定。

為了保險，將相關(guān)的服務(wù)業(yè)禁用掉。同時按住“win+R”鍵，調(diào)出運行窗口，在輸入框中輸入"services.msc"，并點擊“確定”

在彈出的”服務(wù)“窗口中找到Remote desktop services這一項，并雙擊。

在彈出的該選項屬性窗口中，啟動類型選擇”禁用“，第二點擊”確定“即可。

END
注意事項

此**作與其他windows版本系統(tǒng)變化不大，其他版本也可參考此**作步驟

本回答被網(wǎng)友采納