版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
应急响应培训Windows应急我们要做什么目录contentsWindows检查工具2Windows手工检查项1手工检查项总结1、“系统”检查项msimfo32“系统”检查项systeminfo“系统”检查项/Home.aspx2、“网络”检查项检查监听端口、检查端口连接情况,是否有可疑连接netstat-abno|findstr
"LISTENING"netstat-abno|findstr
"ESTABLISHED"“网络”检查项常见高危端口:WEB服务:80、443、8080等系统服务:3389、445、139DB服务:1433、3306、1521、63793、“账户”检查项查看是否存在可疑账号、新增账号方法1:打开cmd
窗口,输入lusrmgr.msc命令,查看是否有新增/可疑的账号,如有管理员群组的(Administrators)里的新增账户,如有,请立即禁用或删除掉。“账户”检查项查看是否有账号弱口令方法1:据实际情况咨询相关服务器管理员。尝试简单密码“账户”检查项查看是否存在隐藏账号、克隆账号方法1:WIN+R,输入regedit打开注册表编辑器,找到以下键值HKEY_LOCAL_MACHINE/SAM\SAM/Domains/Account/Users/Names“账户”检查项查看是否存在隐藏账号、克隆账号方法2:使用D盾_web查杀工具,集成了对克隆账号检测的功能;4、“操作记录”检查项命令执行历史1、WIN+R
键—打开框中输入cmd2、Cmd窗口关闭前:
按F7、doskey
/HISTORY、上下箭来查看历史。“操作记录”检查项应用程序运行历史:1、执行过的程序记录:C:/Windows/Prefetch浏览器历史:1、Edge:菜单--历史记录2、Chrome:菜单--历史记录3、Firfox:菜单--我的足迹--历史4、360SE:5、“启动项”检查项1)检查服务器是否有异常的启动项方法1:Win+R输入msconfig,查看是否存在命名异常的启动项目.“启动项”检查项1)检查服务器是否有异常的启动项方法2:Win+R输入regedit,打开注册表,查看开机启动项是否正常,如下三个注册表项:HKEY_CURRENT_USER/software/micorsoft/windows/currentversion/runHKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunHKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Runonce方法3:使用工具查看启动项:D盾_web查杀,PChunter,火绒剑等。“启动项”检查项2)检查右侧是否有启动异常的项目,如有请删除,并建议安装杀毒软件进行病毒查杀,清除残留病毒或木马。利用杀毒软件进行判断等。组策略,运行gpedit.msc。6、“计划任务”检查项检查计划任务方法1:单击【开始】>【设置】>【控制面板】>【任务计划】,查看计划任务属性,便可以发现木马文件的路径。“计划任务”检查项检查计划任务方法2:WIN+R,输入taskschd.msc“计划任务”检查项检查计划任务方法3:schtasks/query//所有任务“计划任务”检查项检查计划任务C:/Windows/System32/Tasks
该目录一个文件对应一个任务。当系统不能启动时,可在PE进入拷贝出来后用notepad++查看7、“防火墙”检查项方法:设置-->更新和安全-->Windows安全中心-->防火墙和网络保护-->高级设置入站规则:可设置允许/阻断某个服务端口“防火墙”检查项方法:设置-->更新和安全-->Windows安全中心-->防火墙和网络保护-->高级设置出站规则:可设置允许/阻断某个或所有程序外连接8、“进程”检查项查看异常进程:方法1(任务管理器):直接打开任务管理器—详细信息“进程”检查项方法2(命令查看):wmic
process
list
brief
//查询所有进程wmicprocess
get
name,processid,executablepath
//查询进程名ID路径wmicprocess
whereprocessed=””
getname,executablepath
//根据ID查进程名路径“进程”检查项方法2(命令查看):wmic
process
list
brief
//查询所有进程wmicprocess
get
name,processid,executablepath
//查询进程名ID路径wmicprocess
whereprocessed=””
getname,executablepath
//根据ID查进程名路径“进程”检查项方法3(其他工具)D盾_web查杀工具:查看可疑进程;D盾_web查杀工具:查看可疑进程;火绒剑:“进程”检查项杀死异常进程:方法1:上述工具中右键可疑进程—选择结束进程即可方法2:cmd中先用tasklist
列出进程(名+ID),再用(taskkill
/im
进程名/f)
或(taskkill
/pid进程ID)(解释:
/im
立即
/f强制结束进程)“进程”检查项进程文件定位:netstat-ano|
more
//查看目前的网络监听或连接,定位可疑的进程IDtasklist
|findstr
“PID”//根据以上查到的pid,再用tasklist命令定位进程文件wmicprocess
|findstr
"xxx.exe"//获取进程全路径“进程”检查项进程文件定位:netstat-ano|
more
//查看目前的网络监听或连接,定位可疑的进程IDtasklist
|findstr
“PID”//根据以上查到的pid,再用tasklist命令定位进程文件wmicprocess
|findstr
"xxx.exe"//获取进程全路径wmicprocess
where
name="cmd.exe"
get
processid,executablepath//根据进程名或ID获取路径“进程”检查项进程文件定位:方法2:任务管理器---进程—进程右键—打开文件所在位置9、“安装包”检查项10、“服务”检查项服务自启动方法:Win+R,输入services.msc,注意服务状态和启动类型,检查是否有异常服务。11、“文件”检查项痕迹查找常见方法:1)回收站2)下载目录:各浏览器下载目录3)最近使用的文件:开始--运行--%UserProfile%/Recent
或Recent开始--运行--%userprofile%/AppData/Roaming/Microsoft/Windows/Recent/4)文件搜索历史:资源管理器—搜索—最近搜索的内容5)搜索新增文件:资源管理器—搜索—修改日期(选择天数)6)命令执行历史:7)应用程序打开历史:8)浏览器历史记录:9)临时文件目录Temp:%UserProfile%/Local
Settings/temp10)文件历史记录:控制面板\系统和安全\文件历史记录(要事先启用才记录)12、“日志”检查项Windows日志:应用程序:记录安装的应用程序执行信息,警告,错误安全:记录系统及程序安全相关的信息,包含诸如有效和无效的登录尝试等事件,以及与资源使用相关的事件,如创建、打开或删除文件或其他对象。管理员可以指定在安全日志中记录什么事件。例如,如果已启用登录审核,则安全日志将记录对系统的登录尝试:Logon/SpecialLogon登录/特殊登录User
Account
Management用户帐户管理Security
Group
Management安全组管理Security
StateChange安全状态改变Authentication
PolicyChange身份验证策略更改AuditPolicy
Change审核策略更改System
Integrity系统完整性OtherPolicy
ChangeEvents其他政策变更事件OtherSystem
Events其他系统事件系统:记录系统服务组件的运行信息,警告,错误Setup:记录系统程序/更新补丁安装“日志”检查项Windows日志文件路径:Windows2000/2003/XP日志路径:C:/Windows/System32/Config/*.evtWindowsVista/7/10/2008日志路径:
C:/Windows/System32/winevt/Logs/*.evtx该路径下存放所有系统日志evt文件,无法进入系统时用PE引导拷贝出来,在用其他系统的事件查看器打开查看。“日志”检查项安全日志事件类型ID:Event
ID(2000/XP/2003)Event
ID(Vista/7/8/2008/2012)描述日志名称5284624成功登录Security5294625失败登录Security6804776成功/失败的账户认证Security6244720创建用户Security6364732添加用户到启用安全性的本地组中Security6324728添加用户到启用安全性的全局组中Security29347030服务创建错误System29447040IPSEC服务服务的启动类型已从禁用更改为自动启动System29497045服务创建System“日志”检查项日志查看:方法1:Windows自带事件查看器打开运行Win+R,输入“eventvwr.msc”,回车启动事件查看器。点击windows日志/安全“日志”检查项日志查看:方法1:Windows自带事件查看器打开运行Win+R,输入“eventvwr.msc”,回车启动事件查看器。点击windows日志/安全1)查看网络登录成功记录:(筛选器--事件ID
4624)(注意成功登录时间)“日志”检查项日志查看:方法1:Windows自带事件查看器打开运行Win+R,输入“eventvwr.msc”,回车启动事件查看器。点击windows日志/安全2)查看登录失败记录:(事件ID4625/529)如果存在大量的登录失败,说明存在爆破尝试;注意开始爆破时间“日志”检查项日志查看:方法2:导出安全日志,利用文本工具或LogParser进行分析。“日志”检查项日志查看:方法2:导出安全日志,利用文本工具或LogParser进行分析。13、“内存”检查项Volatility:https:///zaqzzz/p/10350989.htmlhttps:///sesefadou/p/11804566.html/qq_45951598/article/details/110914935手工检查项总结目录contentsWindows手工检查项我们要做什么Windows检查工具121Windows检查工具火绒:进程\网络\启动项\注册表等PCHunter
:
进程\网络\启动项\注册表等Power
Tools:
进程\网络\启动项\注册表等Procexp
:
进程\网络\启动项\注册表等D盾:Webshell查杀牧云:Webshell查杀Sangfor
webShellKiller:
Webshell查杀Log
Parser:
日志分析LogParser:下载地址:https:///en-us/download/deta
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2024-2030年中国抗生素分析盘行业市场发展趋势与前景展望战略分析报告
- 2024-2030年中国手持电气安全测试仪行业市场发展趋势与前景展望战略分析报告
- 2024-2030年中国成人运动休闲服装行业营销动态与竞争前景预测报告
- 2024-2030年中国心血管信息系统行业市场发展趋势与前景展望战略分析报告
- 2024-2030年中国微植物(微藻)行业市场发展趋势与前景展望战略分析报告
- 2024-2030年中国彩棉行业市场现状供需分析及投资评估规划分析研究报告
- 2024-2030年中国建筑起重机行业应用状况与需求前景预测报告
- 2024-2030年中国建筑保温行业市场发展前瞻及投资战略研究报告
- 2024-2030年中国废酸回收行业需求趋势与未来前景展望报告
- 2024-2030年中国底部安装压力表行业市场发展趋势与前景展望战略分析报告
- 《影视照明技术》课件
- 应急预案专项培训课件
- 临床用血管理
- 小学四年级奥数练习题【五篇】
- 广播与电视节目制作
- 004(全厂起重机电气设备安装)开工报告
- 人工智能教育在中小学生音乐课程中的应用与实践实
- 电动装载机行业趋势分析
- 螺旋伞齿轮几何尺寸自动计算
- 师德师风学习心得体会,师德师风学习心得
- 全国优质课一等奖职业学校机械制图《组合体的组合形式》课件
评论
0/150
提交评论