我想在可能受感染的 Windows PC 中寻找妥协指标 (IoC)。
我正在编写一个批处理脚本来记录分析所需的信息。它包括以下 CMD 命令:
time /T
date /T
whoami
systeminfo
net user
dir /a "C:\Users\"
net localgroup administrators
net group administrators
net start
schtasks
tasklist
tasklist -svc
tasklist -v
wmic process list full
wmic product get name
我还应该寻找什么?
该脚本的编写方式是为每个
命令创建一个新文件,该文件由“网络工件”、“进程和服务”、“机器信息”等目录分隔
。我可以做些什么来改进脚本?
您是否建议在此阶段进行注册表和内存转储?
我会在做任何其他事情之前拍摄内存图像,如果可能的话尝试抓取页面文件。您需要从管理员命令 shell 运行命令才能复制页面文件。
Lytledw 的回答是好的,只要您记得在过程中尽早抓取内存映像,以尽量减少您对正在运行的内容的影响。
我还要看看你们的服务:
wmic service list brief
wmic service list full
注册键:
reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run
reg query HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
您还可以搜索许多其他内容(具有特定 ID 的 Windows 事件日志,最近添加到 c:\windows 和 c:\windows\system32 文件夹的项目.. 甚至可能是这些目录与已知物品的哈希比较状态)。如果你把它扩展成一个 PowerShell 脚本,那么我相信你可以从中得到更多。
您可以随时进行记忆捕捉。我建议尽早做这些,这样你就不会在机器上留下太大的足迹。