★Windows NT/2000应急响应不完全指南域名服务器教程

★Windows NT/2000应急响应不完全指南********************************author:ayazero               **mail:drdos@163.com           **homepage:overflow.nease.net  **team:www.ph4nt0m.net         ********************************$MS每出一个大漏洞，什么webdav,rpc-dcom,搞机器一族就会马上出动，在人们尚未反应过来之前，把尽可能多的机器占为己有。即使是一般程度安全加固的系统也没有对抗未知或潜在漏洞的能力，被搞定也是没办法的事。本文主要介绍如何应付此类突发事件。应急响应有一半是非技术的内容，制定一个合理的响应策略是至关重要的！记住：现在开始对受害系统的每一部操作都可能改变已存在的证据或是导致敏感信息的丢失！==============创建响应工具包==============如果API，DLL都被入侵者修改替换了，那么系统的输出是不可信的。我们进行响应必须以高度可信赖的程序执行命令，为了防止执行木马命令，并且不改变受害系统上的重要信息，比如cmd.exe的最后访问时间，我们应该用自己的工具集。因为图形界面[GUI]控制台的操作往往会发生不可预料的结果，所以我们更偏向于使用命令行的工具。相对于UNIX而言，因为不涉及不同体系结构及程序编译的兼容性问题，所以这个过程是相对简单的。建议包括如下工具：cmd.exe NT/2000命令解释器loggedon 显示远程和本地连接的用户rasusers显示哪些用户具有权限访问NT工具箱命令(NTRK)netstat列出监听端口fport端口进程关联工具pslist列出运行进程列表listdll列出运行进程依赖的动态连接库nbtstat列出最近10分钟NetBIOS的连接arp显示最后一分钟连接的系统MAC地址kill中止进程,NTRK包含md5summd5校验和工具rmtshare显示可访问共享区的NTRK命令nc/cryptcat再熟悉不过的东西了:)doskey显示cmd命令历史工具cca.exe检验克隆管理员账号的工具auditpol审核策略命令行工具reg注册表转储工具regdump将注册表转换成文本的工具pwdump转储SAM数据库工具ntlast监视登陆成功和失败的工具sfind检测NTFS文件流隐藏文件的工具dumpel日志转储工具......把你认为需要的都添加进去======================保存初始响应获得的信息======================把现场信息保存在不易改变的介质上。比如用nc.exe将要保存的信息传输的另一个系统。在我们自己的系统上执行:C:\>nc -l -p 666 > pslist.txt在受害系统上执行:D:\>pslist | nc 192.168.0.12 666确认I/O完成时,用Ctrl+C中断连接。如果需要非常严格的完整性确认,则需要用md5sum对这些数据校验一次.注意:响应期间不能随意插拔网线,关闭或重启系统,因为某些信息将在这些动作之后全部丢失,采取什么措施是应该在响应之前就想好的,不至于在误操作后后悔莫及!==============一些易失的数据==============系统日期和时间，用time;date获取；最近运行的进程列表，用pslist获取；最近打开的套接字列表，用netstat获取；与已打开套接字关联的应用程序，用fport工具获取；当前登陆用户列表，用loggeden工具获取；当前或最近与系统建立连接系统列表，用arp,nbtstat获取；可以制作如下批处理文件：time /tdate /tloggedonnetstat –anfportpslistnbtstat –ctime /tdate /t不排除你响应期间那个家伙还在活动。确保自己正在使用安全的命令获取数据，使用开始菜单?运行：我们自己的cmd.如果需要建立司法鉴定副本,可以使用Safeback,EnCase等流行工具创建该副本。EnCase：http://www.guidancesoftware.com============获取现场日志============使用NTRK的auditpol查询系统中存在什么样的审核策略。如果没有就不必浪费时间了。如果打开了系统的登陆和注销审核，ntlast工具可以监视系统中所有成功和失败的登陆。NTRK的dumpel工具用于获取日志。例:确定日志系统A:\>auditpol  列出远程系统的成功登陆A:\>ntlast -r  转储安全日志 A:\>dumpel -l security -t ==========注册表操作==========以下操作的项目包括需要获取的系统重要信息，攻击者可能修改的地方，以及为后续操作的所作的查询等。可以把以下内容保存为脚本使用。reg query"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList"reg query"HKLM\SAM\SAM\Domains\Account\Users\Names"reg query"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"reg query"HKLM\Software\SYSTEM\ControlSet001\Control\ComputerName\ComputerName"reg query"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\CSDVersion"reg query"HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WinlogonLegalNoticeText"reg query"HKLM\System\CurrentControlSet\Control\Session Manager\MemoryManagement\ClearPageFileAtShutdown"reg query"HKlM\System\CurrentControlSet\Service\LanmanServer\Shares"reg query"HKCU\Software\Microsoft\Office.0\PowerPoint\RecentFileList"reg query"HKCU\Software\Mircosoft\Windows\CurrentVersion\Explorer\RecentDocs"reg query"HKLM\Software\Microsoft\Windows\CurrentVersion\Run"reg query"HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce"reg query"HKLM\Software\Microsoft\Windows\CurrentVersion\RunService"reg query"HKLM\Software\Microsoft\Windows\CurrentVersion\RunServiceOnce"reg query"HKLM\Software\Microsoft\Windows\CurrentVersion\Windows\load"reg query"HKLM\Software\Microsoft\Windows\CurrentVersion\Windows\Run"reg query"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit"reg query"HKCU\Software\Microsoft\Windows\CurrentVersion\Run"reg query"HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce"reg query"HKCU\Software\Microsoft\Windows\CurrentVersion\RunService"reg query"HKCU\Software\Microsoft\Windows\CurrentVersion\RunServiceOnce"reg query"HKCU\Software\Microsoft\Telent\LastMachine"reg query"HKCU\Software\Microsoft\Telent\Machine1"reg query"HKCU\Software\Microsoft\Telent\Machine2"reg query"HKCU\Software\Microsoft\Telent\Machine3"reg query"HKLM\Software\Mircosoft\Windows NT\CurrentVersion\CSDVersion"================================获得所有文件修改，访问，创建时间================================例:dir /t:a /a /s /o:d c C盘所有文件访问时间的递归列表dir /t:w /a /s /o:d d D盘所有文件修改时间的递归列表dir /t:c /a /s /o:d e E盘所有文件创建时间的递归列表以上列表在后期分析中会非常有用。===================确保获取admin的密码===================现场响应可能遇到令你尴尬的事情，必要时用pwdump转储SAM后用LC4破解，或者用chntpw离线密码编辑器直接修改密码。Chntpw是个linux程序，允许浏览和改变NT/2K的SAM数据库的密码。Chntpw：http://home.eunet.no/~pnordahl/ntpasswd/========内存转储========RAM中可能存在非常重要的证据，关于内存转储的具体内容，请访问以下URL:NT-->http://support.microsoft.com/support/kb/articles/Q235/4/96.ASP2000-->http://support.microsoft.com/support/kb/article/Q254/6/49.ASP==================线索可能存在的地方==================通常需要注意以下几个方面：核心结构的中不稳定数据零碎空间；可以从先前删除且不能恢复的文件中获得信息 空闲或未分配的空间，可以从中找到被删除的文件被损坏或难以访问的簇逻辑文件系统事件日志注册文件不是由Windows Event Log Service管理的应用程序日志交换文件:pagefile.sys特殊应用程序文件，比如浏览器缓存应用程序临时文件回收站打印机缓存收发的邮件================鉴定受害系统映像================如果有条件，尽量不要在原介质上直接操作，原因就是尽量不破坏原始数据。可以选择在Win9x中用NTFSDOS查看，或者在Linux中装入原映像，并且以只读方式安装：[root@ay4z3ro foo]# mount -t ntfs -r /dev/hdb /mnt/checkdevice用Samba建立共享后再用客户端连接做查询分析。================检查所有相关日志================NT/2K维护三个独立日志文件：系统日志，应用程序日志，安全日志。检查这些日志获得以下信息:访问特定文件的用户，成功登陆系统的用户，试图登陆系统但没有成功的用户，特定应用程序