Windows入侵排查【详细版】

### 1.1 系统信息搜集

在低版本的操作系统上可以通过"win+r -> winmsd"来打开系统信息。该功能包含了很多系统中的重要信息，包括系统的摘要、软件环境、网络适配器状态等等。这部分功能主要的目的在于简单了解操作系统的一些情况，比如假设在加载的模块、系统驱动程序、正在运行的任务中看到了一些奇怪的名字，那这个东西可能就有问题。

1.  点击软件环境->系统驱动程序，可查看当前加载的驱动程序
2.  点击软件环境->正在运行任务，可查看当前运行的进程
3.  点击软件环境->加载的模块，可查看程序加载的dll文件

![img](https://oss.maolin101.com/1594188518454-dc90ed67-fb3d-4240-8e68-b3e3a43ebdcc.png-101.webp)

以上这种方法在高版本的操作系统中以及被移除了，就比如Windows Server 2008。那么这里就需要第二种命令行输出的方法，在CMD中输入systeminfo。我们可以了解了该系统的一些基础信息，包括打了哪些补丁等。

![img](https://oss.maolin101.com/1594188580902-0c8b4e07-a635-4e1c-9c8d-8f31fd4255b2.png-101.webp)

以上通过systeminfo输出的内容非常的简单，并没有列出加载的进程、dll文件、驱动等信息，但是这些信息可以通过其它工具去获取到。2008以及win7之后才有！

在"win+r -> resmon"即可打开资源监视器，或者在任务管理器的左下角点击"打开资管监视器"也可以打开。如下图所示，我们可以看到每个进程所使用CPU的情况，选中某个进程，即可以得到该进程所加载的dll等文件。

![img](https://oss.maolin101.com/1594188713969-06ddf731-7b91-409e-854a-3f79119591e1.png-101.webp)

在"win+r -> msinfo32"即可以打开系统信息

![img](https://oss.maolin101.com/1594188962937-a9a59451-21b0-43b3-abc4-863b4310836d.png-101.webp)

通过命令来查看系统信息

*  查看CPU：wmic cpu list brief

*  查看系统环境变量：set

*  查看磁盘剩余空间：fsutil volume diskfree c:

### 1.2 进程分析

cmd命令行输入tasklist，先确认当前操作系统的进程信息，查看是否存在可疑进程。同样也可以直接打开任务管理器来查看进程，或者是之前resmon资源监视器的方式来查看进程。

*  更具 PID定位进程：tasklit | findstr \<pid>

*  输出进程的详细信息：tasklist  /V  /FO CSV | findstr <进程名>

*  查看运行服务的信息：tasklist /svc

*  强制kill进程以及由它启动的子进程：taskkill /f /pid \<pid> /t

*  强制kill进程已进程名的方式：taskkill /f /im cmd.exe /t

#### 1.2.1 进程详情分析

每一个进程都会有自己运行的参数命令，以及运行路径等各种详细信息。那么这些信息可以通过cmd来进行输出。

*  查看所有的参数：wmic process get * /value

*  显示部分的内容：wmic process get caption,commandline /value
*  显示指定进程的部分内容：wmic process where caption="iexplore.exe" get caption,commandline /value

#### 1.2.2 进程隐藏分析

所谓的进程隐藏是指通过特殊的手法，用户无法通过命令或者任务管理器的方式查看到某一个进程的信息，这里面我们通过进程隐藏工具HideToolz3.0进行演示。

![img](https://oss.maolin101.com/1610525095475-35229aed-209b-4924-9e00-4a82dd76c33e.png-101.webp)

排查思路：这边使用常用的系统扫描工具就可以发现

![img](https://oss.maolin101.com/1610526017710-8b4f2583-a8a1-4187-b021-94829b034607.png-101.webp)

### 1.3 系统服务及端口分析

在红队的手段中反弹shell或者达到可持续的目的时，会使用service.exe的方式将payload注册到windows服务中的方式。 windows Instsrv.exe可以给系统安装和删除服务，Srvany.exe可以让程序以服务的方式运行。那么此时我们就需要排查在service.msc中存在可疑服务。

#### 1.3.1 网络信息获取

查看网络设置：ipconfig

显示DNS客户端解析程序缓存的内容：ipconfig /displaydns

查看ipv4路由信息：route print -4 或者 netstat -rn

查看网卡：wmic nic list brief

状态类型：

```txt
CLOSED：初始(无连接)状态。

LISTEN：侦听状态，等待远程机器的连接请求。

SYN_SEND：在TCP三次握手期间，主动连接端发送了SYN包后，进入SYN_SEND状态，等待对方的ACK包。

SYN_RECV：在TCP三次握手期间，主动连接端收到SYN包后，进入SYN_RECV状态。

ESTABLISHED：完成TCP三次握手后，主动连接端进入ESTABLISHED状态。此时，TCP连接已经建立，可以进行通信。

FIN_WAIT_1：在TCP四次挥手时，主动关闭端发送FIN包后，进入FIN_WAIT_1状态。

FIN_WAIT_2：在TCP四次挥手时，主动关闭端收到ACK包后，进入FIN_WAIT_2状态。

TIME_WAIT：在TCP四次挥手时，主动关闭端发送了ACK包之后，进入TIME_WAIT状态，等待最多MSL时间，让被动关闭端收到ACK包。

CLOSING：在TCP四次挥手期间，主动关闭端发送了FIN包后，没有收到对应的ACK包，却收到对方的FIN包，此时，进入CLOSING状态。

CLOSE_WAIT：在TCP四次挥手期间，被动关闭端收到FIN包后，进入CLOSE_ _WAIT状态。

LAST_ACK：在TCP四次挥手时，被动关闭端发送FIN包后，进入LAST_ACK状态，等待对方的ACK包。
```

#### 1.3.2 系统服务及端口分析

查看开放端口：netstat -ano

查看 ESTABLISHED端口：netstat -ano | findstr 'esta'

查看所有开放的服务：win+r -> services.msc

![img](https://oss.maolin101.com/1594189380499-e26a313c-f384-418b-a4b8-c613636c2d6b.png-101.webp)

#### 1.3.3 注册表服务项分析

我这里单独把注册表服务项分析拿出来讲一下，之后在注册表分析中就不会再重复讲述了。

下面的键列出了系统启动时将会启动的所有服务。

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services

- 如果键值设置为2，服务将自动启动；
- 如果设置为3，则必须手动启动服务；
- 如果设置为4，则该服务被禁用。

#### 1.3.4 系统计划任务分析

当攻击者拿下某台服务器最高权限的时候，接下来就需要思考如何长久的控制这台服务器来达到某些持久化的利益获取。方法有很多，之前所讲的服务项和下面要讲的启动项，都是在操作系统启动时运行payload的方式。这里介绍windows运行过程中在未来某个时间点，来执行payload的两种计划任务的方式：at命令、schtasks命令

> at命令介绍

配置计划任务案例：at 22:00 /every:M,T,W,Th,F,S,Su c:\<name>.exe

查看at命令配置的计划任务：at

删除计划任务：at 1 /delete

> schtasks命令介绍

配置计划任务案例：schtasks /create /tn "<计划名>" /tr c:\<name>.exe /sc minute /mo 1

查看schtasks命令配置的计划任务：schtasks /query |findstr "<计划名>"

删除计划任务：schtasks /Delete /tn "joke payload"

### 1.4 启动项分析

#### 1.4.1 msconfig启动项查看

Payload为了实现保活，不可避免会添加或修改启动项、服务项，因此启动项也是非常重要的入手调查点。黑客为了保持病毒能够开机启动、登录启动或者定时启动，通常会有相应的启动项。

可以通过"win+r -> msconfig"的方式打开系统配置，在启动项栏查看开启自启的项目

![img](https://oss.maolin101.com/1594190299389-9b74cd31-edb1-4235-be35-405e68736640.png-101.webp)

#### 1.4.2 注册表启动项分析

我这里单独把注册表启动项分析拿出来讲一下，之后在注册表分析中就不会再重复讲述了。

特定用户登录时启动：在以下键中，键值将在特定用户登录时运行。

- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

系统开机启动项：

- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

RunOnce启动：如果攻击者只是希望软件在启动时运行一次，则可以在此设置子键

- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

#### 1.4.3 脚本启动项分析

攻击者可以通过设置系统启动或者用户登录脚本，达到和设置启动项相同的效果。该脚本可以是一个通用的[exe、bat等]脚本也可以是一个Powershell脚本。

在"win+r -> gpedit.msc"打开本地策略编辑器。

![img](https://oss.maolin101.com/1594609739442-4325a720-cdb0-4c34-8a5c-1d05de9b011a.png-101.webp)

### 1.5 系统用户排查

攻击者一般都会在目标失陷服务器上创建后门用户，以便于后续的远程控制或者响应服务登录的操作，所以用户信息的排查也是至关重要的一环。

#### 1.5.1 用户信息获取

| 描述                      | 命令                            |
| ------------------------- | ------------------------------- |
| 查看当前用户的用户名和SID | whoami /user                    |
| 查看当前用户所属的用户组  | whoami /groups                  |
| 查看当前用户的权限        | whoami /priv                    |
| 查看本机用户              | net user                        |
| 查看admin用户的详细信息   | net user "admin"                |
| 查看用户组                | net localgroup "administrators" |
| 查看已登录的账户          | query user                      |

通过"win+r -> compmgmt.msc"方式来查看本地用户和组的信息

![img](https://oss.maolin101.com/1594191159498-215b5794-821e-4bad-8084-f5c2905be2bf.png-101.webp)

通过"win+r -> lusrmgr.msc"可以单独的打开和上面界面相同的项

#### 1.5.2 注册表用户分析

在很多情况下，使用net user命令在一些情况下是无法查看到所有用户的，就比如说被隐藏的用户$。

那么通过查看注册表的方式就能够解决net user显示用户不全的问题。

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names

在正常情况下注册表的子键最多可以展示到\SAM\SAM，并且该子键下面并没有任何的值。为什么？因为windows觉得这些注册表信息实在是太重要了，必须隐藏保护它，不能进行随意的删除修改。如果需要查看它的全部内容，就需要右键修改\SAM\SAM子键的Administrator的权限，将它设置为完全控制，然后刷新注册表子键便可以看到新增了很多的目录。

![img](https://oss.maolin101.com/1594433497592-4115c3f4-2f22-46a5-8dc8-bdaf6de3fcad.png-101.webp)

#### 1.5.3 恶意用户信息获取

若用用户账号仅是通过net命令或用户管理程序删除的，那么系统中任仍然会留有用户的目录，目录中的一些文件会记录用户某些特定的行为，便于追查。

> 以系统安装在C盘、恶意用户名为cracker为例：

用户的桌面，可能放有一些临时文件或下载的文件：C:\Documents and Settings\cracker\桌面

用户的网络访问情况，cookie文件中可能会记录一些敏感信息：C:\Documents and Settings\cracker\Cookies

用户最近访问过哪些文件或文件夹：C:\Documents and Settings\cracker\Recent

用户上网的历史记录：C:\Documents and Settings\cracker\Local Settings\History

一些程序安装、解压缩等操作可能会在该目录产生临时文件：C:\Documents and Settings\cracker\Local Settings\Temp

上网时产生的临时文件，不但会存储网页页面内容以及一些下载的文件：

C:\Documents and Settings\cracker\Local Settings\Temporary Internet Files

#### 1.5.4 克隆账户排查

之前我们所讲到的隐藏账户，可以通过查看本地用户组的方式查看。那么在这里讲到的克隆账户，只能够通过注册表和wmic的方式进程查看，对于net users和本地用户组是完全隐藏的。同时若克隆的账号是administrator账号，则登陆的克隆账号就是对administrator账号进行控制。

克隆账户原理：我们知道用户账户的注册表位置在HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users。在Users子键下还存在Names子键和存放对应账户数据的子键[例如下面的00000开头的文件]。

举例：000001F4子键代表着管理员账号，F中记录了上一次登陆的信息、SID也就是安全标识符[票据即权限]，V中记录了账户的名称、所属组、密码hash等用户信息。

![img](https://oss.maolin101.com/1610527890107-42020131-2be8-4b5a-bb94-c4d55689a72c.png-101.webp)

步骤一：创建一个隐藏账户，将隐藏用户加入到管理员组。导出其注册表中“恶意用户”的数据配置文件以及Names下对应名称的子键，再到处administrator用户的配置文件，删除恶意用户。

![img](https://oss.maolin101.com/1610529143406-5585b342-bc68-497a-9877-3e55eee0bd60.png-101.webp)

![img](https://oss.maolin101.com/1610529037271-ad1a262c-71de-48ce-a0e4-002ec157d636.png-101.webp)

步骤二：用记事本打开两个用户的配置文件，将administrator用户的F，覆盖恶意用户的F。

![img](https://oss.maolin101.com/1610529286667-c8be6008-e9bd-4d22-84b7-667bb8f6d817.png-101.webp)

步骤三：在注册表中重新倒入恶意用户的两个文件。可以发现lusrmgr中并未存在该克隆账户。

![img](https://oss.maolin101.com/1610529483286-eb81c51d-93d0-4c1b-8f52-ef34360d9b61.png-101.webp)

![img](https://oss.maolin101.com/1610530272813-64e44c05-70f9-4313-aa2a-c07f4949fd05.png-101.webp)

### 1.6 注册表分析

注册表是用于存储Windows系统用户，硬件和软件存储配置信息的数据库。虽然注册表是为了配置系统而设计的，但它可以跟踪用户的活动，连接到系统的设备，什么时间什么软件被使用过等都将被记录在案。所有这些都可用于取证人员，分析溯源用户的恶意或非恶意行为。可以通过win+r -> regedit来打开注册表。

蜂巢：在注册表中，有根文件夹，这些根文件夹被称为蜂巢。

* HKEY_USERS：包含所有加载的用户配置文件

* HKEYCURRENT_USER：当前登录用户的配置文件

* HKEY_CLASSES_ROOT：包含所有已注册的文件类型、OLE等信息

* HKEYCURRENT_CONFIG：启动时系统硬件配置文件

* HKEYLOCAL_MACHINE：配置信息，包括硬件和软件设置

注册表由由键、子键和值项构成。键指蜂巢文件夹，子键指这个键中的子文件夹，子键也是一个键。

值项是键的当前定义，由名称、数据类型以及分配的值组成。

一个键可以有一个或多个值，每个值的名称各不相同，如果一个值的名称为空，则该值为该键的默认值。通常，值是0或1，意味着开或关，也可以包含通常以十六进制显示的更复杂的信息。

![img](https://oss.maolin101.com/1594194265274-24df5069-b153-4442-81e3-b63d218bf6d6.png-101.webp)

#### 1.6.1 注册表无线取证

通过注册表给出的信息，可以得到系统曾经接入过的无线接入点，也就是SSID从而定位无线AP的位置。

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles

![img](https://oss.maolin101.com/1594194514191-ed1ef9bf-137f-4467-b795-2944ff9149da.png-101.webp)

注意最后一次连接时间：SSID TP-LINK_4080

e407 0300 0500 1400 0c00 3300  05000c03 //数据在内存中存放都是倒着的

07E4 = 2020  0003 = 3  0005 =星期五  0014 =20  000c =12  0033 = 51

得到最后一次连接时间：2020年3月20日12点51分 星期三

#### 1.6.2 文档取证

RecentDocs键可以通过文件扩展来跟踪系统上使用或打开的文档

- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

![img](https://oss.maolin101.com/1594194828672-5d2e426c-b891-4803-9358-fd04828c0653.png-101.webp)

![img](https://oss.maolin101.com/1594194860871-2e2e966d-2dcf-4b38-9cc8-9669a573200d.png-101.webp)

#### 1.6.3 URL取证

当用户在Internet Explorer中输入URL时，该值将被存储在：

- HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs

#### 1.6.4 IP地址取证

跟踪用户接口的IP地址，我们可以找到分配给接口的IP地址，子网掩码以及DHCP服务器租用IP的时间。这样，我们就可以判断嫌疑人在入侵或犯罪时是否使用了某个特定的IP。

- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces

![img](https://oss.maolin101.com/1594197061557-fc4464e8-9285-42c5-a1a0-f8638aeb931e.png-101.webp)

#### 1.6.5 USB存储设备取证

想象一下在某些场景中，攻击者可能在你的电脑插入了一个USB设备，并拷贝走了你大量重要的数据文件。这时我们就可以通过以下键值，来查找USB存储设备插入和使用的证据。

- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USBSTOR

![img](https://oss.maolin101.com/1594197157564-9df6aa71-3e99-4575-a967-fe84dfa586db.png-101.webp)

挂载设备取证：如果攻击者使用任何必须挂载的硬件设备来读取或写入数据（CD-ROM，DVD，硬盘驱动器，闪存驱动器等），注册表将记录已挂载的设备。

- HKEY_LOCAL_MACHINE\System\MountedDevices

#### 1.6.6 服务项分析

下面的键列出了系统启动时将会启动的所有服务。

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services

- 如果键值设置为2，服务将自动启动；
- 如果设置为3，则必须手动启动服务；
- 如果设置为4，则该服务被禁用。

#### 1.6.7 启动项分析

特定用户登录时启动：在以下键中，键值将在特定用户登录时运行：

- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

RunOnce启动：如果攻击者只是希望软件在启动时运行一次，则可以在此设置子键：

- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

#### 1.6.8 注册表用户分析

在很多情况下，使用net user命令在一些情况下是无法查看到所有用户的，就比如说被隐藏的用户$。那么通过查看注册表的方式就能够解决net user显示用户不全的问题。

- HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names

在正常情况下注册表的子键最多可以展示到\SAM\SAM，并且该子键下面并没有任何的值。为什么？因为windows觉得这些注册表信息实在是太重要了，必须隐藏保护它，不能进行随意的删除修改。如果需要查看它的全部内容，就需要右键修改\SAM\SAM子键的Administrator的权限，将它设置为完全控制，然后刷新注册表子键便可以看到新增了很多的目录。

![img](https://oss.maolin101.com/1594433497592-4115c3f4-2f22-46a5-8dc8-bdaf6de3fcad.png-101.webp)

### 1.7 日志分析

日志审计是应急响应中很重要的一个部分，那么在windows下通常会对应用程序日志、安全日志以及系统日志进行审计。

- 系统日志（System.evtx）：系统日志是记录系统中硬件、软件和系统问题的信息，用户可以通过它来检查错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹。
- 应用程序日志（Application.evtx）：记录程序在运行过程中的日志信息。
- 安全日志（Security.evtx）：登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。安全日志也是调查取证中最常用到的日志。

在默认情况下，安全日志仅仅只记录一些简单的登录日志，因为安全日志会随着计算机的使用时间而不断增长，占用使用空间。所以若我们需要记录详细的安全日志，则需要通过修改本地策略来启用其它项的安全日志记录功能。通过win+r -> gpedit.msc打开本地策略编辑器：

![img](https://oss.maolin101.com/1594628740187-ac191e0c-fdef-4c1e-80c0-579f95820ade.png-101.webp)

#### 1.7.1 日志目录

Windows 2000 / Server2003 / Windows XP 的日志目录：C:\Windows\System32\Config\*.evt

Windows Vista / 7 / 10 / Server2008 的日志目录：C:\Windows\System32\winevt\Logs\*.evtx

#### 1.7.2 事件查看器

查看服务日志文件：win+r -> eventvwr.msc

![img](https://oss.maolin101.com/1594197431913-ef67b908-d1ae-46d2-ba48-41b95e84a24b.png-101.webp)

#### 1.7.3 Powershell查看日志

- 查询所有系统事件：PS  Get-WinEvent -LogName system

- 查询所有安全事件：PS  Get-WinEvent -LogName security

- 查询所有应用事件：PS  Get-WinEvent -LogName application

- 查询所有USB插入事件：PS  Get-WinEvent -FilterHashtable

@{Path="C:\Windows\System32\winevt\Logs\System.evtx"} | Where {$_.Message -like "USB"}

- 查询所有Windows Defender事件：PS

Get-WinEvent -FilterHashtable @{logname="Microsoft-Windows-Windows Defender/Operational"}

- 查询所有Windows Defender相关具体事件，以1117为例（1117为阻止恶意软件）：PS

Get-WinEvent -FilterHashtable @{logname="Microsoft-Windows-Windows Defender/Operational";id=1117}

列出powershell可以查看的所有日志名：PS  Get-WinEvent -ListLog *

![img](https://oss.maolin101.com/1594197576058-962ded30-c59c-4e99-abdd-2677ca0f1b7b.png-101.webp)

#### 1.7.3 常见事件ID

```plain
审计目录服务访问
    4934 ActiveDirectory对象的属性被复制
    4935 复制失败开始
    4936 复制失败结束
    5136 目录服务对象已修改
    5137 目录服务对象已创建
    5138 目录服务对象已删除
    5139 目录服务对象已经移动
    5141 目录服务对象已删除
    4932 命名上下文的AD的副本同步已经开始
    4933 命名上下文的AD的副本同步已经结束
审计用户事件
    4624 账号登陆成功
    4625 账号登陆失败
    4634 帐户被注销
    4647 用户发起注销
    4624 帐户已成功登录
    4625 帐户登录失败
    4648 试图使用明确的凭证登录
    4672 授予特殊权限
    4675 SID被过滤
    4649 发现重放攻击
    4719 系统审计策略修改
    4720 创建用户
    4726 删除用户
    4728 将成员添加到启用安全的全局组中
    4729 将成员从安全组移除
    4732 将成员添加到启用安全的本地组中
    4733 将成员从启用安全的本地组移除
    4756 将成员添加到启用安全的通用组中
    4757 将成员从启用安全的通用组中移除	
    4776 凭证验证记录
    4778 会话被重新连接到WindowStation
    4779 会话断开连接到WindowStation
    4800 工作站被锁定
    4801 工作站被解锁
    4802 屏幕保护程序启用
    4803 屏幕保护程序被禁用
    5378 所要求的凭证代表是政策所不允许的
    5632 要求对无线网络进行验证
    5633 要求对有线网络进行验证
审计对象访问
    5140 网络共享对象被访问
    4664 试图创建一个硬链接
    4985 交易状态已经改变
    5051 文件已被虚拟化
    5031 Windows防火墙服务阻止一个应用程序接收网络中的入站连接
    4698 计划任务已创建
    4699 计划任务已删除
    4700 计划任务已启用
    4701 计划任务已停用
    4702 计划任务已更新
    4657 注册表值被修改
    5039 注册表项被虚拟化
    4660 对象已删除
    4663 试图访问一个对象
审计政策变化
    4715 对象上的审计政策(SACL)已经更改
    4719 系统审计政策已经更改
    4902 Per user审核政策表已经创建
    4906 CrashOnAuditFail值已经变化
    4907 对象的审计设置已经更改
    4706 创建到域的新信任
    4707 到域的信任已经删除
    4713 Kerberos政策已更改
    4716 信任域信息已经修改
    4717 系统安全访问授予帐户
    4718 系统安全访问从帐户移除
    4864 名字空间碰撞被删除
    4865 信任森林信息条目已添加
    4866 信任森林信息条目已删除
    4867 信任森林信息条目已取消
    4704 用户权限已分配
    4705 用户权限已移除
    4714 加密数据复原政策已取消
    4944 当开启WindowsFirewall时下列政策启用
    4945 当开启WindowsFirewall时列入一个规则
    4946 对Windows防火墙例外列表进行了修改，添加规则
    4947 对Windows防火墙例外列表进行了修改，规则已修改
    4948 对Windows防火墙例外列表进行了修改，规则已删除
    4949 Windows防火墙设置已恢复到默认值
    4950 Windows防火墙设置已更改
    4951 因为主要版本号码不被Windows防火墙承认，规则已被忽视
    4952 因为主要版本号码不被Windows防火墙承认，部分规则已被忽视，将执行规则的其余部分
    4953 因为Windows防火墙不能解析规则，规则被忽略
    4954 Windows防火墙组政策设置已经更改，将使用新设置
    4956 Windows防火墙已经更改主动资料
    4957 Windows防火墙不适用于以下规则
    4958 因为该规则涉及的条目没有被配置，Windows防火墙将不适用以下规则：
    6144 组策略对象中的安全政策已经成功运用
    6145 当处理组策略对象中的安全政策时发生一个或者多个错误
    4670 对象的权限已更改
审计特权使用
    4672 给新登录分配特权
    4673 要求特权服务
    4674 试图对特权对象尝试操作
审计系统事件
    5024 Windows防火墙服务已成功启动
    5025 Windows防火墙服务已经被停止
    5027 Windows防火墙服务无法从本地存储检索安全政策，该服务将继续执行目前的政策
    5028 Windows防火墙服务无法解析的新的安全政策，这项服务将继续执行目前的政策
    5029 Windows防火墙服务无法初始化的驱动程序，这项服务将继续执行目前的政策
    5030 Windows防火墙服务无法启动
    5032 Windows防火墙无法通知用户它阻止了接收入站连接的应用程序
    5033 Windows防火墙驱动程序已成功启动
    5034 Windows防火墙驱动程序已经停止
    5035 Windows防火墙驱动程序未能启动
    5037 Windows防火墙驱动程序检测到关键运行错误，终止。
    4608 Windows正在启动
    4609 Windows正在关机
    4616 系统时间被改变
    4621 管理员从CrashOnAuditFail回收系统，非管理员的用户现在可以登录，有些审计活动可能没有被记录
    4697 系统中安装服务器
    4618 监测安全事件样式已经发生
其它事件
    1102 清理审计日志
    1074 计算机的开机、关机、重启的时间以及原因和注释
    4688 创建进程
    4689 结束进程
    5156 系统出站入站连接记录
```

### 1.8 自动化信息搜集工具

#### 1.8.1 Autoruns：系统详细信息搜集

由于大多数的恶意软件本身不存在相关描述信息，所以通过检查Publisher[出版者]和Description[描述信息]两条项目可排除一些较简单的后门程序或恶意代码

![img](https://oss.maolin101.com/1594197892351-5de1cc21-1d06-456d-b2ac-18ab3a3ba592.png-101.webp)

#### 1.8.2 Procmon：进程动作抓取

在一些病毒中，常常会寻求访问一些敏感文件、注册表，创建模块等一些异常行为，所以我们可以通过上辅助监控软件，来检查恶意程序的行为。

Procmon会实时展现进程对文件的行为以及结果，如下图所示：这玩意儿感觉就和抓包差不多，只不过前者抓取的是进程操作后者抓取的是流量。

- 可以通过快捷键Ctrl + L的方式进行筛选

![img](https://oss.maolin101.com/1594198001970-94ee370a-6791-45b0-ad79-723f1e9c4ca7.png-101.webp)

#### 1.8.3 ProcessExplorer：进程树

有些情况下，有些病毒可能会依赖于某个父类进程进行启动，所以这里推荐一个ProcessExplorer，该工具效果可以直观展现进程树等一系列情况。

![img](https://oss.maolin101.com/1594198056561-c5b161f3-f9c3-46e1-ba51-595085573f40.png-101.webp)

#### 1.8.4 TcpView：动态展示网络连接情况

![img](https://oss.maolin101.com/1594198099116-f51c45c5-c57e-40cd-974f-3daef74ea4b9.png-101.webp)

#### 1.8.5 火绒剑

这个工具其实特别好用，我们上提及到的一些内容，该工具基本涵盖了。安装完火绒后，火绒工具箱中就有该工具。

![img](https://oss.maolin101.com/1594198158375-92b4cef1-5afa-4b4f-840c-6a9dfd245f91.png-101.webp)

#### 1.8.6 Powertool

有些病毒可能会检查火绒剑，这里推荐一个pwertool，该工具从内核开始检查，功能与火绒剑、PC hunter差不多。

![img](https://oss.maolin101.com/1594198249365-5132f64c-90cf-4e72-a34c-780adc84a88d.png-101.webp)

#### 1.8.7 D盾

需要通过管理员权限启动D盾，D盾可以查看进程、克隆账号、端口信息等。

![img](https://oss.maolin101.com/1594607056594-cd57458c-d849-4430-9e47-3884388ff7b0.png-101.webp)

#### 1.8.8 PChunter

![img](https://oss.maolin101.com/1595473606121-f2eb7b05-48b3-4913-aa94-63ec687921c1.png-101.webp)

#### 1.8.9 InForMation：简单搜集系统信息

C:\Users\admin\Desktop>InForMation.exe -i start -L start -s start

-i INFORMATION, --information=INFORMATION   //获取系统信息

-L LOG, --log=LOG   //获取中间件日志

-s SEARCH, --search=SEARCH  //搜索日志文件

#### 1.8.10 windows.bat：搜集详细的windows信息

windows.bat >> windows.test.txt

项目地址：[📎Windows.bat.txt](https://www.yuque.com/attachments/yuque/0/2021/txt/1543119/1611134302556-b07ceafe-3fd1-4c26-ba9f-39d5d20fdd5a.txt)

#### 1.8.11 OpenArk

火绒剑的平替版本，但是现在火绒出了新的工具之后，就比原先的火绒剑要更牛了。

项目地址：https://github.com/BlackINT3/OpenArk/releases/tag/v1.3.6

![img](https://oss.maolin101.com/1717494367713-2db76ee4-e81d-4614-b86b-9112ca415e9a.png-101.webp)