2024网络信息安全应急响应Windows应急手册

应急响应培训Windows应急我们要做什么目录contentsWindows检查工具2Windows手工检查项1手工检查项总结1、“系统”检查项msimfo32“系统”检查项systeminfo“系统”检查项/Home.aspx2、“网络”检查项检查监听端口、检查端口连接情况，是否有可疑连接netstat-abno|findstr

"LISTENING"netstat-abno|findstr

"ESTABLISHED"“网络”检查项常见高危端口：WEB服务：80、443、8080等系统服务：3389、445、139DB服务：1433、3306、1521、63793、“账户”检查项查看是否存在可疑账号、新增账号方法1：打开cmd

窗口，输入lusrmgr.msc命令，查看是否有新增/可疑的账号，如有管理员群组的（Administrators）里的新增账户，如有，请立即禁用或删除掉。“账户”检查项查看是否有账号弱口令方法1：据实际情况咨询相关服务器管理员。尝试简单密码“账户”检查项查看是否存在隐藏账号、克隆账号方法1：WIN+R，输入regedit打开注册表编辑器，找到以下键值HKEY_LOCAL_MACHINE/SAM\SAM/Domains/Account/Users/Names“账户”检查项查看是否存在隐藏账号、克隆账号方法2：使用D盾_web查杀工具，集成了对克隆账号检测的功能；4、“操作记录”检查项命令执行历史1、WIN+R

键—打开框中输入cmd2、Cmd窗口关闭前:

按F7、doskey

/HISTORY、上下箭来查看历史。“操作记录”检查项应用程序运行历史：1、执行过的程序记录：C:/Windows/Prefetch浏览器历史：1、Edge：菜单--历史记录2、Chrome：菜单--历史记录3、Firfox：菜单--我的足迹--历史4、360SE：5、“启动项”检查项1）检查服务器是否有异常的启动项方法1：Win+R输入msconfig，查看是否存在命名异常的启动项目.“启动项”检查项1）检查服务器是否有异常的启动项方法2：Win+R输入regedit，打开注册表，查看开机启动项是否正常，如下三个注册表项：HKEY_CURRENT_USER/software/micorsoft/windows/currentversion/runHKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunHKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Runonce方法3：使用工具查看启动项：D盾_web查杀，PChunter，火绒剑等。“启动项”检查项2）检查右侧是否有启动异常的项目，如有请删除，并建议安装杀毒软件进行病毒查杀，清除残留病毒或木马。利用杀毒软件进行判断等。组策略，运行gpedit.msc。6、“计划任务”检查项检查计划任务方法1：单击【开始】>【设置】>【控制面板】>【任务计划】，查看计划任务属性，便可以发现木马文件的路径。“计划任务”检查项检查计划任务方法2：WIN+R，输入taskschd.msc“计划任务”检查项检查计划任务方法3：schtasks/query//所有任务“计划任务”检查项检查计划任务C:/Windows/System32/Tasks

该目录一个文件对应一个任务。当系统不能启动时，可在PE进入拷贝出来后用notepad++查看7、“防火墙”检查项方法：设置-->更新和安全-->Windows安全中心-->防火墙和网络保护-->高级设置入站规则：可设置允许/阻断某个服务端口“防火墙”检查项方法：设置-->更新和安全-->Windows安全中心-->防火墙和网络保护-->高级设置出站规则：可设置允许/阻断某个或所有程序外连接8、“进程”检查项查看异常进程：方法1(任务管理器)：直接打开任务管理器—详细信息“进程”检查项方法2(命令查看)：wmic

process

list

brief

//查询所有进程wmicprocess

get

name,processid,executablepath

//查询进程名ID路径wmicprocess

whereprocessed=””

getname,executablepath

//根据ID查进程名路径“进程”检查项方法2(命令查看)：wmic

process

list

brief

//查询所有进程wmicprocess

get

name,processid,executablepath

//查询进程名ID路径wmicprocess

whereprocessed=””

getname,executablepath

//根据ID查进程名路径“进程”检查项方法3(其他工具)D盾_web查杀工具：查看可疑进程；D盾_web查杀工具：查看可疑进程；火绒剑：“进程”检查项杀死异常进程：方法1：上述工具中右键可疑进程—选择结束进程即可方法2：cmd中先用tasklist

列出进程(名+ID)，再用(taskkill

/im

进程名/f)

或(taskkill

/pid进程ID)(解释:

/im

立即

/f强制结束进程)“进程”检查项进程文件定位：netstat-ano|

more

//查看目前的网络监听或连接，定位可疑的进程IDtasklist

|findstr

“PID”//根据以上查到的pid，再用tasklist命令定位进程文件wmicprocess

|findstr

"xxx.exe"//获取进程全路径“进程”检查项进程文件定位：netstat-ano|

more

//查看目前的网络监听或连接，定位可疑的进程IDtasklist

|findstr

“PID”//根据以上查到的pid，再用tasklist命令定位进程文件wmicprocess

|findstr

"xxx.exe"//获取进程全路径wmicprocess

where

name="cmd.exe"

get

processid,executablepath//根据进程名或ID获取路径“进程”检查项进程文件定位：方法2：任务管理器---进程—进程右键—打开文件所在位置9、“安装包”检查项10、“服务”检查项服务自启动方法：Win+R，输入services.msc，注意服务状态和启动类型，检查是否有异常服务。11、“文件”检查项痕迹查找常见方法：1）回收站2）下载目录：各浏览器下载目录3）最近使用的文件：开始--运行--%UserProfile%/Recent

或Recent开始--运行--%userprofile%/AppData/Roaming/Microsoft/Windows/Recent/4）文件搜索历史：资源管理器—搜索—最近搜索的内容5）搜索新增文件：资源管理器—搜索—修改日期(选择天数)6）命令执行历史：7）应用程序打开历史：8）浏览器历史记录：9）临时文件目录Temp：%UserProfile%/Local

Settings/temp10）文件历史记录：控制面板\系统和安全\文件历史记录(要事先启用才记录)12、“日志”检查项Windows日志：应用程序：记录安装的应用程序执行信息，警告，错误安全：记录系统及程序安全相关的信息，包含诸如有效和无效的登录尝试等事件，以及与资源使用相关的事件，如创建、打开或删除文件或其他对象。管理员可以指定在安全日志中记录什么事件。例如，如果已启用登录审核，则安全日志将记录对系统的登录尝试：Logon/SpecialLogon登录/特殊登录User

Account

Management用户帐户管理Security

Group

Management安全组管理Security

StateChange安全状态改变Authentication

PolicyChange身份验证策略更改AuditPolicy

Change审核策略更改System

Integrity系统完整性OtherPolicy

ChangeEvents其他政策变更事件OtherSystem

Events其他系统事件系统：记录系统服务组件的运行信息,警告，错误Setup：记录系统程序/更新补丁安装“日志”检查项Windows日志文件路径：Windows2000/2003/XP日志路径：C:/Windows/System32/Config/*.evtWindowsVista/7/10/2008日志路径:

C:/Windows/System32/winevt/Logs/*.evtx该路径下存放所有系统日志evt文件，无法进入系统时用PE引导拷贝出来，在用其他系统的事件查看器打开查看。“日志”检查项安全日志事件类型ID：Event

ID(2000/XP/2003)Event

ID(Vista/7/8/2008/2012)描述日志名称5284624成功登录Security5294625失败登录Security6804776成功/失败的账户认证Security6244720创建用户Security6364732添加用户到启用安全性的本地组中Security6324728添加用户到启用安全性的全局组中Security29347030服务创建错误System29447040IPSEC服务服务的启动类型已从禁用更改为自动启动System29497045服务创建System“日志”检查项日志查看：方法1：Windows自带事件查看器打开运行Win+R，输入“eventvwr.msc”，回车启动事件查看器。点击windows日志/安全“日志”检查项日志查看：方法1：Windows自带事件查看器打开运行Win+R，输入“eventvwr.msc”，回车启动事件查看器。点击windows日志/安全1）查看网络登录成功记录：(筛选器--事件ID

4624)（注意成功登录时间）“日志”检查项日志查看：方法1：Windows自带事件查看器打开运行Win+R，输入“eventvwr.msc”，回车启动事件查看器。点击windows日志/安全2）查看登录失败记录：(事件ID4625/529)如果存在大量的登录失败，说明存在爆破尝试；注意开始爆破时间“日志”检查项日志查看：方法2：导出安全日志，利用文本工具或LogParser进行分析。“日志”检查项日志查看：方法2：导出安全日志，利用文本工具或LogParser进行分析。13、“内存”检查项Volatility：https:///zaqzzz/p/10350989.htmlhttps:///sesefadou/p/11804566.html/qq_45951598/article/details/110914935手工检查项总结目录contentsWindows手工检查项我们要做什么Windows检查工具121Windows检查工具火绒：进程\网络\启动项\注册表等PCHunter

:

进程\网络\启动项\注册表等Power

Tools:

进程\网络\启动项\注册表等Procexp

:

进程\网络\启动项\注册表等D盾：Webshell查杀牧云：Webshell查杀Sangfor

webShellKiller:

Webshell查杀Log

Parser:

日志分析LogParser：下载地址：https:///en-us/download/deta