Gregory's Server
#Investigate-Malware-in-Windows
#malware #windows #infosec #investigation
Как определить источник вредоносной активности в Windows?
Если используются различные средства безопасности, источник атаки будет найти не так сложно.
В противном случае - разгребать логи Windows и анализировать результаты выполнения базовых команд в поисках появления чего-то подозрительного:
**Пользователи**
net user
Get-LocalUser
net localgroup administrators
Get-LocalGroupMember Administrators
**Процессы**
taskmgr.exe
tasklist
Get-Process
wmic process get name,parentprocessid,processid
wmic process where 'ProcessID=PID' get CommandLine
**Сервисы**
services.msc
net start
sc query | more
tasklist /svc
Get-Service | Format-Table -AutoSize
**Task Scheduler**
schtasks
wmic startup get caption,command
Get-CimInstance Win32_StartupCommand | Select-Object Name, command, Location, User | Format-List
Get-ScheduledTask | Format-Table -AutoSize
Get-ScheduledTask -TaskName Office* | Format-Table -AutoSize
**Реестр**
regedit
reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
reg query HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
**Соединения**
netstat -ano
*Подозрительные файлы**
forfiles /D -10 /S /M *.exe /C "cmd /c echo @path"
forfiles /D -10 /S /M *.exe /C "cmd /c echo @ext @fname @fdate"
forfiles /p c: /S /D -10
**Настройки файрвола**
netsh firewall show config
netsh advfirewall show currentprofile
Get-NetFirewallRule | select DisplayName,Direction,Action,Enabled | Where-Object Enabled -eq $true | Sort-Object Direction, DisplayName | Format-Table -AutoSize
Get-NetFirewallProfile
**Сессии с другими узлами**
net use
net session
Get-SmbMapping
Get-SmbConnection
**Логи**
eventvwr.msc
Get-EventLog -List
Get-EventLog Application -After (Get-Date).AddHours(-2) | Format-Table -AutoSize
Get-EventLog System -After (Get-Date).AddHours(-2) | Format-Table -AutoSize
Get-EventLog System -After (Get-Date).AddHours(-2) | Where-Object {$_.Message -like "*Server*"}
**Реестр**
regedit
reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
reg query HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
**Соединения**
netstat -ano
*Подозрительные файлы**
forfiles /D -10 /S /M *.exe /C "cmd /c echo @path"
forfiles /D -10 /S /M *.exe /C "cmd /c echo @ext @fname @fdate"
forfiles /p c: /S /D -10