在Windows系統的網絡安全應急響應中，文件痕跡排查是識別攻擊行為的關鍵步驟。以下是針對敏感目錄的詳細排查指南及擴展建議：

---

1. 臨時目錄排查（Temp/Tmp）

• 路徑示例：
  • C:\Windows\Temp
  • C:\Users\<用戶名>\AppData\Local\Temp
  • 各磁盤根目錄下的Temp或tmp文件夾（如D:\Temp）
• 排查重點：
  • 異常文件類型：檢查是否存在可疑的.exe、.dll、.bat、.ps1、.vbs等可執行文件或腳本（如svchost.exe在臨時目錄中出現需警惕）。
  • 時間戳分析：結合事件時間線，篩選近期創建/修改的文件。
  • 隱藏文件：使用dir /a命令或文件資源管理器的“顯示隱藏文件”選項查看。
• 工具建議：
  • 使用Everything快速搜索全盤.exe文件。
  • 通過PowerShell命令批量提取文件哈希值，對比威脅情報庫（如VirusTotal）。

---

2. 瀏覽器痕跡分析

• 瀏覽器數據路徑：
  • Chrome/Edge：
    C:\Users\<用戶名>\AppData\Local\Google\Chrome\User Data\Default
C:\Users\<用戶名>\AppData\Local\Microsoft\Edge\User Data\Default
  • Firefox：
    C:\Users\<用戶名>\AppData\Roaming\Mozilla\Firefox\Profiles
• 關鍵文件：
  • 歷史記錄：History（SQLite數據庫，可通過工具如DB Browser for SQLite查看）。
  • 下載記錄：Downloads或Download表。
  • Cookies：Cookies文件（可能包含會話劫持信息）。
  • 擴展程序：檢查Extensions目錄是否有惡意插件。
• 自動化工具：
  • 使用BrowsingHistoryView、WebBrowserPassView等工具快速提取瀏覽器痕跡。

---

3. Recent文件分析（最近訪問記錄）

• 路徑：
  • Windows 7及更早：
    C:\Documents and Settings\<用戶名>\Recent
C:\Documents and Settings\Default User\Recent
  • Windows 8/10/11：
    C:\Users\<用戶名>\AppData\Roaming\Microsoft\Windows\Recent
• 排查內容：
  • 查看.lnk快捷方式文件，分析用戶近期訪問的文檔、圖片、壓縮包等。
  • 關注敏感文件（如passwords.txt、財務數據.xlsx）的訪問記錄。
• 取證工具：
  • 使用LECmd（LNK Explorer）解析.lnk文件的時間戳和原始路徑。

---

4. 擴展排查建議

1. 預讀取文件（Prefetch）：
   • 路徑：C:\Windows\Prefetch
   • 分析*.pf文件，識別異常進程執行記錄。
2. 啟動項與計劃任務：
   • 檢查C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
   • 使用msconfig或Autoruns工具分析自啟動項。
3. 系統日志與事件查看器：
   • 結合Security.evtx、System.evtx日志，關聯文件操作事件（Event ID 4663）。
4. 惡意軟件常用目錄：
   • C:\Users\<用戶名>\AppData\Roaming（如%AppData%下的可疑文件夾）
   • C:\ProgramData（隱藏目錄，常被用于駐留）

---

操作注意事項

• 權限問題：使用管理員權限運行命令或工具（如PowerShell -RunAs Admin）。
• 備份取證：對可疑文件創建副本（避免直接操作原文件），記錄哈希值。
• 時間線分析：使用工具如Plaso/log2timeline構建文件系統時間線，輔助溯源。

通過以上步驟，可系統化識別攻擊痕跡，快速定位惡意文件及入侵路徑。

---

4. 擴展排查建議（續）

5. Amcache.hve分析：
   • 路徑：%SystemRoot%\appcompat\Programs\Amcache.hve
   • 作用：記錄應用程序執行痕跡，包括文件路徑、首次/末次執行時間、SHA1哈希值等。
   • 工具建議：
     • 使用Regedit手動查看（需掛載為Hive文件）。
     • 自動化解析工具：AmcacheParser或Eric Zimmerman's Registry Explorer。
   • 典型場景：追蹤惡意軟件首次執行時間及傳播路徑。

---

2. 時間點查找（Windows）

1. 基于時間范圍篩選文件
   • 命令示例（需根據實際攻擊時間調整日期）：

     forfiles /p C:\ /m *.exe /s /d +2024-02-12  /c "cmd /c echo @path @fdate @ftime" 2>nul
     

     • 解釋：查找C盤下2024年2月12日之后修改的所有.exe文件，輸出路徑及時間。
     • 注意：日期格式需與系統區域設置一致（如YYYY-MM-DD）。
   • 增強版命令（導出到CSV）：

     forfiles /p C:\ /m * /s /d +2024-02-12 /c "cmd /c echo @path,@fdate,@ftime" > C:\log\filelist.csv 2>nul
     

2. 文件時間戳分析
   • 三時間屬性：
     • 創建時間（Creation Time）：文件生成時間。
     • 修改時間（Modified Time）：內容最后更改時間。
     • 訪問時間（Accessed Time）：文件最后打開時間（需系統啟用記錄）。
   • 取證工具：
     • Timeline Explorer：可視化分析文件時間線。
     • MFTECmd：解析MFT表提取精確時間戳。

---

3. Webshell檢測（Windows）

• 工具推薦：
  • D盾：快速掃描Web目錄（如C:\inetpub\wwwroot）中的PHP/ASP/JSP等腳本文件，識別加密代碼、危險函數。
  • 河馬Webshell查殺：支持深度學習檢測混淆Webshell。
• 手動排查：
  • 檢查網站目錄下近期新增或修改的腳本文件。
  • 搜索高危函數（如eval、system、passthru）。
  • 使用strings命令查看二進制文件中是否包含敏感URL或IP。

---

2. Linux系統文件痕跡排查

---

1. 敏感目錄排查

1. 臨時目錄與系統命令目錄
   • /tmp、/var/tmp：常見惡意軟件暫存位置，檢查異常文件（如.sh、.so）。
   • /usr/bin、/usr/sbin：對比系統純凈版本文件哈希值，識別替換型木馬。

     # 示例：檢查/bin/ls是否被篡改
     md5sum /bin/ls
     # 對比已知安全系統的哈希值
     

2. SSH相關目錄
   • ~/.ssh/：檢查authorized_keys是否被添加非法公鑰。
   • /etc/ssh/sshd_config：確認配置未被修改（如啟用空密碼登錄）。

---

2. 時間點查找

1. 基于find命令篩選
   • 查找24小時內創建的.sh文件：

     find / -ctime 0 -name "*.sh" 2>/dev/null
     

   • 擴展用法：
     • -mtime n：修改時間在n天前（+n表示超過n天，-n表示n天內）。
     • -atime n：訪問時間篩選。
2. 文件時間戳分析
   • stat命令：

     stat suspicious.php  
     # 輸出：創建時間（Birth）、修改時間（Modify）、訪問時間（Access）
     

   • 時間線工具：
     • ls -alh --time-style=full-iso：顯示精確時間。
     • mactime（Sleuth Kit）：生成文件系統活動時間線。

---

3. 特殊文件檢測

1. 異常權限文件
   • 查找全局可寫文件：

     find /tmp -perm 777 -ls  
     

   • 風險場景：攻擊者利用可寫權限植入后門。
2. Webshell掃描
   • 基礎查找：

     find /var/www/ -name "*.php" | xargs egrep "eval|base64_decode|passthru"  
     

   • 專業工具：
     • ClamAV：病毒掃描引擎，更新規則庫后使用clamscan。
     • LMD（Linux Malware Detect）：針對Linux惡意軟件優化。

---

4. 系統文件與進程排查

1. 隱藏目錄與文件
   • 檢查.bin等隱藏目錄：

     ls -alh ~/.bin  # 注意非標準的隱藏目錄
     

2. 進程與網絡分析
   • 查看異常進程：

     ps aux | grep -E "(curl|wget|nc|ncat|socat)"  
     netstat -antp | grep ESTABLISHED  
     

   • 工具推薦：
     • lsof：查看進程打開的文件及網絡連接。
     • sysdig：動態監控系統調用。

---

5. 后門與Rootkit檢測

1. 自動化掃描工具
   • chkrootkit：

     sudo chkrootkit -q  
     

   • rkhunter：

     sudo rkhunter --check --sk  
     

2. SUID/SGID程序排查
   • 查找SUID權限文件：

     find / -type f -perm /4000 -ls 2>/dev/null  
     

   • 重點關注：非系統默認的SUID程序（如/usr/bin/find被設置SUID）。

---

6. 擴展排查建議

• 日志關聯分析：
  • 檢查/var/log/auth.log（SSH登錄記錄）、/var/log/syslog（系統事件）。
  • 使用journalctl查詢systemd日志。
• 文件完整性校驗：
  • 使用AIDE或Tripwire生成文件哈希基線，定期比對。
• 內存取證：
  • 通過LiME或Volatility提取內存鏡像，檢測無文件攻擊痕跡。

---

操作注意事項（Linux）

• 權限提升：部分命令需sudo或root權限執行。
• 取證隔離：避免直接在被攻擊主機上運行高危操作，優先制作磁盤鏡像。
• 時間同步：確認系統時間準確，避免時間戳誤導分析。

通過結合Windows與Linux系統的全面排查，可有效定位入侵痕跡，為后續清除和修復提供依據。