网络安全应急响应：常见系统敏感目录排查指南

• C:\Windows\System32：包含系统核心文件，对系统运行至关重要。注意检查其中是否有伪装成系统 DLL 的恶意文件。
• C:\Windows\System32\drivers：存放着 Windows 操作系统的核心驱动程序。hosts 文件就是一个重要文件，防止域名地址被恶意篡改。
• C:\Windows\SysWOW64：包含 64 位 Windows 系统上的 32 位系统文件，攻击者可能利用其中的漏洞或弱点来进行攻击或提升权限。
• C:\Windows\WinSxS：包含系统组件的存储目录，对系统运行至关重要，但也可能被攻击者利用。

2. 用户与应用数据

• C:\Users\AppData：包含用户的应用程序数据和设置信息。特别是 LocalLow 和 Roaming 子目录常被用于持久化。
• C:\Users\Documents 和 C:\Users\Desktop：用户的文档和桌面文件夹，容易成为社会工程学攻击的目标。
• C:\Program Files 和 C:\Program Files (x86)：安装程序文件的默认目录。需检查是否有未授权的安装或修改。

3. 临时与缓存

• C:\Windows\Temp 和 C:\Users\AppData\Local\Temp：临时文件目录，可能包含敏感信息或下载的攻击载荷。
• C:\Windows\Prefetch：包含 Windows 系统启动和运行程序时的预取文件，可能包含敏感信息和攻击痕迹，可用于分析历史运行程序。
• C:\Windows\Installer：包含安装程序包的目录，可能包含安装过程中产生的临时文件和日志信息，攻击者可能利用其中的信息来执行攻击。

4. 服务与计划任务

• C:\inetpub：IIS 服务器的默认根目录，包含网站文件。
• C:\Windows\Tasks：包含系统计划任务的目录，攻击者可能通过创建或篡改任务来实施持久性攻击或执行恶意代码。
• C:\Windows\Microsoft.NET\Framework：包含.NET Framework 的核心文件和运行时环境，可能受到攻击者的目标。

5. 检查建议

使用 PowerShell 检查最近修改的系统文件：

Get-ChildItem -Path C:\Windows\System32 -Recurse -ErrorAction SilentlyContinue | Where-Object { $_.LastWriteTime -gt (Get-Date).AddDays(-7) }

查看计划任务：

schtasks /query /fo LIST /v

三、Android 系统敏感目录

1. 应用数据与系统配置

• /data：包含用户数据和应用程序数据的主要目录，其中包括用户的个人文件、数据库、应用程序配置等信息。
• /data/data/<package_name>：每个应用程序都有自己的数据目录，存储着应用程序的私有数据、数据库、缓存和其他配置文件。这些数据对于应用程序的正常运行至关重要，但同时也可能包含用户隐私信息，需要得到妥善保护。
• /data/system：包含系统级别的配置和状态信息，如系统属性、权限控制列表等。
• /data/app：安装的应用程序文件存储在这个目录中，可能包含应用程序的二进制文件、资源文件等。

2. 外部存储与临时文件

• /sdcard 或/storage/emulated/0：外部存储卡的根目录，用于存储用户的多媒体文件、下载文件等，包含用户的个人数据。
• /mnt/sdcard：旧版 Android 系统中外部 SD 卡的挂载点，一些旧版应用程序可能会将数据存储在这个目录中。
• /data/local/tmp：用于存储临时文件的目录，应用程序可能会将临时文件存储在这里，攻击者也可能利用这个目录来执行恶意操作。

3. 系统分区与库文件

• /system：包含系统文件的目录，其中包括系统应用程序、库文件等。这个目录通常只有系统进程才有写权限，是系统级别的敏感目录。
• /system/bin 和/system/xbin：包含系统可执行文件的目录，包括一些系统级别的工具和命令，攻击者可能利用其中的漏洞进行攻击或执行恶意操作。
• /system/etc：包含系统配置文件的目录，例如网络配置、hosts 文件等，攻击者可能修改这些文件来实施攻击或劫持流量。
• /system/lib 和/system/lib64：包含系统库文件的目录，包括用于运行系统和应用程序的动态链接库，攻击者可能植入恶意库文件以执行攻击。

4. 特殊风险目录

• /data/adb/modules：这是 Magisk 模块的存储目录，Magisk 是一款强大的 Android 系统修改工具。攻击者可能会利用 Magisk 模块来实施 root 欺骗或注入恶意代码。
• /data/anr：ANR（Application Not Responding）目录包含应用程序发生 ANR 时生成的 traces.txt 文件。这些文件记录了导致应用程序无响应的堆栈跟踪信息，有助于排查应用程序性能问题。
• /data/misc：这个目录包含了各种系统服务和配置文件的数据。例如，Wi-Fi 相关的配置信息存储在 /data/misc/wifi 目录中，Bluetooth 相关的配置信息存储在 /data/misc/bluetooth 目录中。
• /data/dalvik-cache：包含 Dalvik 虚拟机的缓存文件，用于优化应用程序的启动速度，攻击者可能利用其中的漏洞进行攻击或执行恶意代码。

5. 检查建议

使用 ADB 命令拉取日志和文件列表：

adb shell ls -la /data/local/tmp
adb logcat -d > logs.txt

检查已安装应用：

adb shell pm list packages -f

四、总结与监控实践

通过监管敏感目录中文件的操作行为，可以有效识别并应对恶意文件。恶意文件往往隐藏在系统的敏感目录中，攻击者利用这些目录来执行恶意操作或隐藏其恶意行为。因此，对这些目录进行监管并分析文件的操作行为是至关重要的一项安全措施。

1. 文件操作监控

监管敏感目录中文件的操作行为通常包括监控文件的创建、修改、删除和访问等操作。当系统中的文件发生异常操作时，可以触发警报或记录日志，以便安全团队及时发现并应对潜在的威胁。例如，如果某个敏感目录中的文件突然被修改或删除，可能表明有恶意程序正在尝试对系统进行攻击或植入恶意代码。

2. 技术手段

在监管文件操作行为时，可以采用以下技术手段：

• 文件完整性检查：比对文件的哈希值，以检测文件是否被篡改。可以使用 Tripwire 或 AIDE 等工具。
• 文件访问监控：记录文件的读写访问记录，分析哪些进程或用户对文件进行了操作。Linux 下可使用 Auditd，Windows 下可使用 Sysmon。
• 行为分析：检测到不符合正常行为模式的文件操作，从而识别潜在的恶意行为。

3. 最佳实践

• 定期审查敏感目录并建立巡检机制。
• 限制敏感目录的写入权限，遵循最小权限原则。
• 启用系统审计功能，集中收集日志。
• 结合自动化工具进行持续监控，减少人工遗漏。

综上所述，通过监管敏感目录中文件的操作行为，可及时发现和识别恶意文件，有助于提高系统的安全性和防御能力。同时，结合文件完整性检查、访问监控和行为分析等技术手段，可以更全面地保护系统和用户数据免受恶意攻击的侵害。