前沿拓展：

win10退出遠(yuǎn)程

1、第一在切換虛擬桌面的時(shí)候，都是點(diǎn)擊Windows10任務(wù)欄的“來(lái)自任務(wù)視圖”按鈕。

2、在彈出的窗口中選擇需要切

Xp/2003

540

3

**B遠(yuǎn)程登錄成功

2008/2012/2016/win7/win8/win10

529

3

**B遠(yuǎn)程登錄失敗

2008/2012/2016/win7/win8/win10

4624

3

**B遠(yuǎn)程登錄成功

2008/2012/2016/win7/win8/win10

4625

3

**B遠(yuǎn)程登錄失敗

六、啟動(dòng)項(xiàng)排查

黑客為了保持**能夠開(kāi)機(jī)啟動(dòng)、登錄啟動(dòng)或者定時(shí)啟動(dòng)，通常會(huì)有相應(yīng)的啟動(dòng)項(xiàng)，因此有必要找出異常啟動(dòng)項(xiàng)，并刪除之。啟動(dòng)項(xiàng)的排查，這里引入一個(gè)非常好用的工具，工具名字Autoruns（官網(wǎng)www.sysinternals.com）。

1、自啟動(dòng)項(xiàng)

autoruns查看

注冊(cè)表查看

**啟動(dòng)項(xiàng)

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun

一次性啟動(dòng)項(xiàng)，下次啟動(dòng)會(huì)自動(dòng)刪除

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnce

32位程序啟動(dòng)項(xiàng)

HKLMSOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRun

通過(guò)以下路徑放置程序也可以自啟動(dòng)程序

%appdata%MicrosoftWindowsStart MenuProgramsStartup

2、任務(wù)計(jì)劃

autoruns查看

微軟自帶工具

taskschd.msc可啟動(dòng)系統(tǒng)自帶任務(wù)計(jì)劃程序，可以查看任務(wù)計(jì)劃具體**作，顯示所有正在運(yùn)行的任務(wù)，并且可以開(kāi)啟任務(wù)歷史記錄。

注冊(cè)表查看

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionScheduleTaskCacheTree

有些任務(wù)計(jì)劃做了隱藏可通過(guò)注冊(cè)表查看，這里任務(wù)計(jì)劃只有名稱(chēng)，如果想知道任務(wù)計(jì)劃執(zhí)行內(nèi)容，可以結(jié)合任務(wù)計(jì)劃歷史記錄日志看判斷。

服務(wù)排查

通過(guò)tasklist /svc，可以查看每個(gè)進(jìn)程所對(duì)應(yīng)的PID和服務(wù)

使用autoruns查看

注冊(cè)表查看

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices存儲(chǔ)著所有的服務(wù)啟動(dòng)項(xiàng)

七、賬戶(hù)排查

查看用戶(hù)最后一次登錄，修改密碼時(shí)間，以及賬戶(hù)是否啟動(dòng)。

net user xxx

通過(guò)PCHunter等工具可以查看隱藏用戶(hù)，如添加$符號(hào)的隱藏賬號(hào)，以及克隆賬號(hào)。

八、宏**分析處置

現(xiàn)象：

EDR等殺軟報(bào)宏**，**名提示類(lèi)似于W97M、VBA、MSWor、Macro。

分析過(guò)程：

根據(jù)文件后綴其實(shí)就能看出，該word文檔是帶有宏代碼的，m即為macro。

為了分析腳本內(nèi)容，打開(kāi)文件就會(huì)觸發(fā)腳本運(yùn)行，但如果禁用宏的話(huà)，打開(kāi)文檔是看不到腳本內(nèi)容的。為了以靜態(tài)方式提取樣本，這里會(huì)使用到一個(gè)分析程序oledump.py(https://github.com/decalage2/oledump-contrib)

oledump.py是一個(gè)用于分析OLE文件（復(fù)合文件二進(jìn)制格式）的程序，而word、excel、ppt等文檔是OLE格式文件的，可以用它來(lái)提取宏代碼。

先進(jìn)行文件基礎(chǔ)分析，可以看到A3這段數(shù)據(jù)被標(biāo)記為“M”，“M”即表示Macro，說(shuō)明這段數(shù)據(jù)是帶有VBA代碼的。

python oledump.py SSL.docm

接下來(lái)我們就需要將這段VBA代碼提取出來(lái)，執(zhí)行以下命令，可以看到VBA代碼就被提取出來(lái)了。我們把他重定向到一個(gè)文件里即可。

python oledump.py -s A3 -v SSL.docm

這段代碼其實(shí)比較簡(jiǎn)單。

1.先判斷**作系統(tǒng)位數(shù)設(shè)置不同路徑的rundll32.exe，第二通過(guò)CreateProcessA啟動(dòng)rundll32.exe。

2.通過(guò)VirtualAllocEx在rundll32進(jìn)程里申請(qǐng)一段內(nèi)存空間。

3.通過(guò)WriteProces**emory將myArray數(shù)組的內(nèi)容，按字節(jié)寫(xiě)入到剛才申請(qǐng)的內(nèi)存空間。

4.通過(guò)CreateRemoteThread在rundll32進(jìn)程創(chuàng)建遠(yuǎn)程線(xiàn)程，入口點(diǎn)為剛才申請(qǐng)的內(nèi)存空間首地址，并啟動(dòng)該線(xiàn)程。

綜上所述，該代碼為遠(yuǎn)程注入惡意代碼到其他進(jìn)程，可以判斷為**。

九、勒索**

勒索**特征

1、文件被加密成統(tǒng)一后綴，無(wú)法使用。

2、桌面存在勒索信息文件，或勒索信息背景。

勒索信息文件里的一串二進(jìn)制字符串，實(shí)際上是加密密鑰，但它被其他算法又加密了一層。

加密原理

1.常見(jiàn)的勒索**加密算法為RSA+AES。

2.勒索**運(yùn)行時(shí)會(huì)隨機(jī)生成一串AES密鑰，用該密鑰來(lái)加密文件，加密結(jié)束后，使用RSA公鑰對(duì)AES密鑰進(jìn)行加密，保存在本地。

3.解密需要**開(kāi)發(fā)者提供RSA私鑰，解密本地AES密鑰文件，從而得到AES密鑰來(lái)解密系統(tǒng)數(shù)據(jù)。

所以別寄希望于逆向分析來(lái)解密

十、sy**on**

sy**on為windows提供了更強(qiáng)大的**功能，但遺憾的是sy**on只支持2008以后的系統(tǒng)。

sy**on安裝推薦xml文件下載鏈接

https://github.com/SwiftOnSecurity/sy**on-config

最常用的安裝方式

sy**on.exe -accepteula -i -n

但上述方式不支持DNS記錄，而且日志量會(huì)過(guò)大。

推薦安裝命令，使用上述git里的配置，可支持DNS記錄，并且可自行修改過(guò)濾器，記錄自己需要的。

Sy**on64.exe -accepteula -i z-AlphaVersion.xml

卸載

sy**on.exe -u

日志通過(guò)**查看器查看，因?yàn)閟y**on的日志是以evtx格式存儲(chǔ)的。

具體**路徑為

應(yīng)用程序和服務(wù)日志-Microsoft-Windows-Sy**on-Operational

如下圖所示，或者你直接去C盤(pán)指定路徑查文件也行

如同windows自帶的系統(tǒng)日志，安全日志有**ID一樣，sy**on日志也有對(duì)應(yīng)的**ID，最新版本支持23種**。

Event ID 1: Process creation

Event ID 2: A process changed a file creation time

Event ID 3: Network connection

Event ID 4: Sy**on service state changed

Event ID 5: Process terminated

Event ID 6: Driver loaded

Event ID 7: Image loaded

Event ID 8: CreateRemoteThread

Event ID 9: RawAccessRead

Event ID 10: ProcessAccess

Event ID 11: FileCreate

Event ID 12: RegistryEvent (Object create and delete)

Event ID 13: RegistryEvent (Value Set)

Event ID 14: RegistryEvent (Key and Value Rename)

Event ID 15: FileCreateStreamHash

Event ID 17: PipeEvent (Pipe Created)

Event ID 18: PipeEvent (Pipe Connected)

Event ID 19: WmiEvent (WmiEventFilter activity detected)

Event ID 20: WmiEvent (WmiEventConsumer activity detected)

Event ID 21: WmiEvent (WmiEventConsumerToFilter activity detected)

Event ID 22: DNSEvent (DNS query)

Event ID 255: Error

案例

常用的有**ID 1，**進(jìn)程創(chuàng)建，惡意進(jìn)程的創(chuàng)建，包括他的父進(jìn)程，PID，執(zhí)行命令等等。

之前遇到過(guò)一起，開(kāi)啟會(huì)自動(dòng)運(yùn)行powershell，但查了啟動(dòng)項(xiàng)，任務(wù)計(jì)劃，wmi都沒(méi)發(fā)現(xiàn)痕跡，苦苦無(wú)解，第二使用sy**on**進(jìn)程創(chuàng)建，最終**是誰(shuí)拉起了powershell，往上溯源找到是一個(gè)偽造成正常程序圖標(biāo)和后綴的link文件，存放在Startup目錄下，鏈接到存放在另一處的vbs腳本。

下圖即為進(jìn)程創(chuàng)建**日志，可以看到幾個(gè)關(guān)鍵點(diǎn)，創(chuàng)建的進(jìn)程，命令行，以及父進(jìn)程

**ID3，**網(wǎng)絡(luò)連接，當(dāng)惡意程序外連CC服務(wù)器或者礦池等**作的時(shí)候，可以**到是哪個(gè)進(jìn)程發(fā)起的連接。這邊也舉個(gè)例子，之前遇到一種**，當(dāng)你去用進(jìn)程管理器或分析工具去查看時(shí)，該**會(huì)自動(dòng)退出，防止被檢測(cè)到，并且隨機(jī)一段時(shí)間重啟，但態(tài)勢(shì)感知上發(fā)現(xiàn)確實(shí)有挖礦行為，使用sy**on**，當(dāng)他不定時(shí)運(yùn)行時(shí)，即可捕捉到他連接礦池的行為，從而**到進(jìn)程。

下圖為網(wǎng)絡(luò)連接**日志，可以看到網(wǎng)絡(luò)連接的五元組，和對(duì)應(yīng)的進(jìn)程。

**ID22，是這次重磅推出的新功能，DNS查詢(xún)記錄，這功能讓?xiě)?yīng)急響應(yīng)人員可以很輕松的通過(guò)域名**到進(jìn)程，并且你即使開(kāi)啟了dnscache服務(wù)，也能**到原先進(jìn)程。dnscache是一個(gè)緩存服務(wù)，簡(jiǎn)單來(lái)講，就是會(huì)**其他進(jìn)程進(jìn)行dns解析，并且會(huì)緩存解析結(jié)果，下一次解析就不再發(fā)送請(qǐng)求，讀取緩存內(nèi)容返回給指定程序即可。所以大家使用內(nèi)存掃描工具，可能會(huì)**到dnscache服務(wù)進(jìn)程。

在監(jiān)測(cè)設(shè)備上發(fā)現(xiàn)可疑域名解析時(shí)，通過(guò)這個(gè)功能，可以輕松**到發(fā)起解析的進(jìn)程，從而進(jìn)一步分析進(jìn)程文件是否確實(shí)有問(wèn)題。

如下圖所示，為dns查詢(xún)?nèi)罩荆瑫?huì)記錄解析域名和結(jié)果，以及對(duì)應(yīng)的進(jìn)程PID和路徑。

拓展知識(shí)：

win10退出遠(yuǎn)程

win10系統(tǒng)如何開(kāi)啟或關(guān)閉遠(yuǎn)程桌面

win10退出遠(yuǎn)程

工具/原料

電腦
windows10**作系統(tǒng)
方法/步驟

在桌面上找到“此電腦”，右鍵選擇“屬性”

打開(kāi)“屬性”窗口后，在左側(cè)欄找到并點(diǎn)擊“遠(yuǎn)程設(shè)置”

在打開(kāi)的窗口中，先將“允許遠(yuǎn)程協(xié)助連接這臺(tái)計(jì)算機(jī)”前面的勾去掉，第二選擇下面的“不允許遠(yuǎn)程連接到此計(jì)算機(jī)”，最后點(diǎn)擊確定。

為了保險(xiǎn)，將相關(guān)的服務(wù)業(yè)禁用掉。同時(shí)按住“win+R”鍵，調(diào)出運(yùn)行窗口，在輸入框中輸入"services.msc"，并點(diǎn)擊“確定”

在彈出的”服務(wù)“窗口中找到Remote desktop services這一項(xiàng)，并雙擊。

在彈出的該選項(xiàng)屬性窗口中，啟動(dòng)類(lèi)型選擇”禁用“，第二點(diǎn)擊”確定“即可。

END
注意事項(xiàng)

此**作與其他windows版本系統(tǒng)變化不大，其他版本也可參考此**作步驟

本回答被網(wǎng)友采納