Hvv前排查分析
字数 1066 2025-08-22 18:37:21

HVV前排查分析教学文档

Windows系统排查分析

1. 开机启动项检查

检查方法:

  1. 启动菜单路径: 
    C:\Users\<用户名>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
  2. 系统配置命令: 
    msconfig
  3. 注册表路径: 
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

2. Temp临时文件检查

检查路径:

%temp% 或 C:\Users\<用户名>\AppData\Local\Temp

检查思路:

  • 检查是否有异常的可执行文件(exe、dll、sys等)
  • 检查是否有特别大的temp文件
  • 使用在线病毒分析网站或杀毒软件进行分析

3. 浏览器信息分析

检查内容:

  • 浏览器浏览痕迹
  • 文件下载记录
  • Cookie信息

4. 文件时间属性分析

关键点:

  • 文件属性包含:创建时间、修改时间、访问时间
  • 正常情况下创建时间应早于修改时间
  • 修改时间早于创建时间的文件可能存在问题

5. 最近打开文件分析

检查路径:

C:\Users\<用户名>\Recent 或 直接运行recent

6. 进程分析

检查命令:

netstat -ano | find "ESTABLISHED"  # 查看已建立的连接
tasklist /svc | find "PID值"       # 查看特定PID对应的程序
taskkill /PID PID值 /F             # 终止进程

7. 计划任务检查

检查方法:

  • 使用schtasks.exe命令
  • 使用图形化界面
  • 检查是否有恶意计划任务

8. 隐藏账号检查

创建隐藏账号示例:

net user test$ test /add && net localgroup administrator test$ /add

检查方法:

  • 图形化界面检查
  • 检查注册表中的用户信息

9. 恶意进程检查

检查方法:

  • 使用杀毒软件查杀
  • 手工检查可疑进程
  • 使用辅助工具分析

10. 系统补丁检查

检查命令:

systeminfo

检查内容:

  • 系统补丁编号
  • 第三方软件补丁

11. WebShell查杀

推荐工具:

  • D盾防火墙(专为IIS设计)
  • 下载地址:http://www.d99net.net/

Linux系统排查分析

1. 敏感文件检查

重点目录:

  • /tmp - 临时目录,有写入执行权限
  • /etc/init.d - 系统服务管理脚本目录

文件时间检查命令:

find ./ -mtime 0 -name "*.php"  # 查看24小时内修改的文件
find ./ -ctime 3 -name "*.php"  # 查看72小时内新增的文件

2. 权限检查

检查777权限文件:

find ./ -iname "*.php" -perm 777

3. 进程分析

网络连接检查:

netstat -pantl

进程管理:

kill -9 PID              # 终止进程
ps aux | grep PID        # 查看进程详情
lsof -i :端口号          # 查看端口占用

4. 登录分析

检查命令:

last -i | grep -v 0.0.0.0  # 筛选非本地登录
w                          # 实时查看登录用户

5. 异常用户检查

检查方法:

cat /etc/passwd
grep "0:0" /etc/passwd
ls -l /etc/passwd
awk -F: '$3==0{print $1}' /etc/passwd
awk -F: '$2=="!"{print $1}' /etc/passwd
awk -F: 'length($2)==0 {print $1}' /etc/shadow

6. 历史命令检查

检查路径:

/root/.bash_history

检查命令:

history

重点关注:

  • wget下载命令
  • ssh连接命令
  • 数据打包命令(tar、zip等)
  • 系统配置修改命令

7. 计划任务检查

检查命令:

crontab -l

8. 开机启动项检查

检查目录:

/etc/init.d/

检查命令:

/etc/init.d/程序名 status
update-rc.d 程序名 disable  # 禁用启动项
update-rc.d 程序名 enable   # 启用启动项

9. PATH变量检查

检查内容:

  • 检查/etc/profile~/.bashrc中的PATH设置
  • 检查是否有异常的环境变量添加

10. 后门排查工具

推荐工具:

  • rkhunter

安装与使用:

apt install rkhunter
rkhunter --check --sk

功能:

  • 系统命令检测
  • MD5校验
  • Rootkit检测
  • 敏感目录检查
  • 系统配置异常检测

总结

本文档详细介绍了HVV行动中Windows和Linux系统的应急响应排查方法,涵盖了开机启动项、临时文件、进程分析、用户检查、计划任务等关键点。在实际操作中,应结合日志分析等其他手段进行全面检查。

HVV前排查分析教学文档 Windows系统排查分析 1. 开机启动项检查 检查方法: 启动菜单路径: 系统配置命令: 注册表路径: 2. Temp临时文件检查 检查路径: 检查思路: 检查是否有异常的可执行文件(exe、dll、sys等) 检查是否有特别大的temp文件 使用在线病毒分析网站或杀毒软件进行分析 3. 浏览器信息分析 检查内容: 浏览器浏览痕迹 文件下载记录 Cookie信息 4. 文件时间属性分析 关键点: 文件属性包含:创建时间、修改时间、访问时间 正常情况下创建时间应早于修改时间 修改时间早于创建时间的文件可能存在问题 5. 最近打开文件分析 检查路径: 6. 进程分析 检查命令: 7. 计划任务检查 检查方法: 使用 schtasks.exe 命令 使用图形化界面 检查是否有恶意计划任务 8. 隐藏账号检查 创建隐藏账号示例: 检查方法: 图形化界面检查 检查注册表中的用户信息 9. 恶意进程检查 检查方法: 使用杀毒软件查杀 手工检查可疑进程 使用辅助工具分析 10. 系统补丁检查 检查命令: 检查内容: 系统补丁编号 第三方软件补丁 11. WebShell查杀 推荐工具: D盾防火墙(专为IIS设计) 下载地址:http://www.d99net.net/ Linux系统排查分析 1. 敏感文件检查 重点目录: /tmp - 临时目录,有写入执行权限 /etc/init.d - 系统服务管理脚本目录 文件时间检查命令: 2. 权限检查 检查777权限文件: 3. 进程分析 网络连接检查: 进程管理: 4. 登录分析 检查命令: 5. 异常用户检查 检查方法: 6. 历史命令检查 检查路径: 检查命令: 重点关注: wget下载命令 ssh连接命令 数据打包命令(tar、zip等) 系统配置修改命令 7. 计划任务检查 检查命令: 8. 开机启动项检查 检查目录: 检查命令: 9. PATH变量检查 检查内容: 检查 /etc/profile 和 ~/.bashrc 中的PATH设置 检查是否有异常的环境变量添加 10. 后门排查工具 推荐工具: rkhunter 安装与使用: 功能: 系统命令检测 MD5校验 Rootkit检测 敏感目录检查 系统配置异常检测 总结 本文档详细介绍了HVV行动中Windows和Linux系统的应急响应排查方法,涵盖了开机启动项、临时文件、进程分析、用户检查、计划任务等关键点。在实际操作中,应结合日志分析等其他手段进行全面检查。