2024網(wǎng)絡信息安全應急響應Windows應急手冊

應急響應培訓Windows應急目錄contents

Windows手工檢查項我們要做什么Windows檢查工具我們要做什么手工檢查項總結(jié)msimfo321、“系統(tǒng)”檢查項msimfo32“系統(tǒng)”檢查項systeminfosysteminfo/Home.aspx“系統(tǒng)”檢查項/Home.aspx2、“網(wǎng)絡”檢查項檢查監(jiān)聽端口、檢查端口連接情況，是否有可疑連接檢查監(jiān)聽端口、檢查端口連接情況，是否有可疑連接netstat-abno|findstr"LISTENING"netstat-abno|findstr"LISTENING"netstat-abno|findstr"ESTABLISHED"netstat-abno|findstr"ESTABLISHED"“網(wǎng)絡”檢查項常見高危端口：WEB服務：80、443、8080等系統(tǒng)服務：3389、445、139DB服務：1433、3306、1521、6379查看是否存在可疑賬號、新增賬號3、“賬戶”檢查項查看是否存在可疑賬號、新增賬號方法方法1：打開cmd窗口，輸入lusrmgr.msc命令，查看是否有新增/可疑的賬號，如有管理員群組的（Administrators）里的新增賬戶，如有，請立即禁用或刪除掉?！百~戶”檢查項查看是否有賬號弱口令查看是否有賬號弱口令方法方法1：據(jù)實際情況咨詢相關(guān)服務器管理員。嘗試簡單密碼“賬戶”檢查項查看是否存在隱藏賬號、克隆賬號方法1查看是否存在隱藏賬號、克隆賬號方法1：WIN+R，輸入regedit打開注冊表編輯器，找到以下鍵值查看是否存在隱藏賬號、克隆賬號“賬戶”檢查項查看是否存在隱藏賬號、克隆賬號方法2：使用D盾_web查殺工具，集成了對克隆賬號檢測的功能；方法2：使用D盾_web查殺工具，集成了對克隆賬號檢測的功能；4、“操作記錄”檢查項命令執(zhí)行歷史命令執(zhí)行歷史11、WIN+R鍵—打開框中輸入cmd2、Cmd窗口關(guān)閉前:按F7、doskey/HISTORY、上下箭來查看歷史?！安僮饔涗洝睓z查項應用程序運行歷史：應用程序運行歷史：11、執(zhí)行過的程序記錄：C:/Windows/Prefetch瀏覽器歷史：瀏覽器歷史：11、Edge：菜單--歷史記錄2、Chrome：菜單--歷史記錄3、Firfox：菜單--我的足跡--歷史4、360SE：5、“啟動項”檢查項11）檢查服務器是否有異常的啟動項方法方法1：Win+R輸入msconfig，查看是否存在命名異常的啟動項目.“啟動項”檢查項11）檢查服務器是否有異常的啟動項方法方法2：Win+R輸入regedit，打開注冊表，查看開機啟動項是否正常，如下三個注冊表項：HKEY_CURRENT_USER/software/micorsoft/windows/currentversion/runHKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunHKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Runonce方法方法3：使用工具查看啟動項：D盾_web查殺，PChunter，火絨劍等。“啟動項”檢查項22）檢查右側(cè)是否有啟動異常的項目，如有請刪除，并建議安裝殺毒軟件進行病毒查殺，清除殘留病毒或木馬。利用殺毒軟件進行判斷等。利用殺毒軟件進行判斷等。組策略，運行組策略，運行g(shù)pedit.msc。6、“計劃任務”檢查項檢查計劃任務檢查計劃任務方法方法1：單擊【開始】>【設(shè)置】>【控制面板】>【任務計劃】，查看計劃任務屬性，便可以發(fā)現(xiàn)木馬文件的路徑?！坝媱澣蝿铡睓z查項檢查計劃任務檢查計劃任務方法方法2：WIN+R，輸入taskschd.msc“計劃任務”檢查項檢查計劃任務檢查計劃任務方法方法3：schtasks/query//所有任務“計劃任務”檢查項檢查計劃任務檢查計劃任務C:/Windows/System32/TasksC:/Windows/System32/Tasks該目錄一個文件對應一個任務。當系統(tǒng)不能啟動時，可在PE進入拷貝出來后用notepad++查看7、“防火墻”檢查項方法：設(shè)置方法：設(shè)置-->更新和安全-->Windows安全中心-->防火墻和網(wǎng)絡保護-->高級設(shè)置入站規(guī)則：入站規(guī)則：可設(shè)置允許/阻斷某個服務端口“防火墻”檢查項方法：設(shè)置方法：設(shè)置-->更新和安全-->Windows安全中心-->防火墻和網(wǎng)絡保護-->高級設(shè)置出站規(guī)則：出站規(guī)則：可設(shè)置允許/阻斷某個或所有程序外連接查看異常進程：8、“進程”檢查項查看異常進程：方法方法1(任務管理器)：直接打開任務管理器—詳細信息“進程”檢查項方法2(命令查看)：wmicprocesslistbrief//查詢所有進程wmicprocessname,processid,executablepath//查詢進程名ID路徑wmicprocesswhereprocessed=””getname,executablepath//根據(jù)ID查進程名路徑“進程”檢查項方法2(命令查看)：wmicprocesslistbrief//查詢所有進程wmicprocessname,processid,executablepath//查詢進程名ID路徑wmicprocesswhereprocessed=””getname,executablepath//根據(jù)ID查進程名路徑“進程”檢查項方法3(其他工具)D盾_web查殺工具：查看可疑進程；D盾_web查殺工具：查看可疑進程；火絨劍：“進程”檢查項殺死異常進程：殺死異常進程：方法方法1：上述工具中右鍵可疑進程—選擇結(jié)束進程即可方法方法2：cmd中先用tasklist列出進程(名+ID)，再用(taskkill/im進程名/f或(taskkill/pid進程ID)(解釋/im/f強制結(jié)束進程)“進程”檢查項進程文件定位：-ano|more//查看目前的網(wǎng)絡監(jiān)聽或連接，定位可疑的進程IDtasklist|findstr“PID”//根據(jù)以上查到的pid，再用tasklist命令定位進程文件wmicprocess|findstr"xxx.exe"http://獲取進程全路徑“進程”檢查項進程文件定位：-ano|more//查看目前的網(wǎng)絡監(jiān)聽或連接，定位可疑的進程IDtasklist|findstr“PID”//根據(jù)以上查到的pid，再用tasklist命令定位進程文件wmicprocess|findstr"xxx.exe"http://獲取進程全路徑wmicprocesswherename="cmd.exe"getprocessid,executablepath//根據(jù)進程名或ID獲取路徑“進程”檢查項進程文件定位：進程文件定位：方法方法2：任務管理器---進程—進程右鍵—打開文件所在位置9、“安裝包”檢查項10、“服務”檢查項服務自啟動服務自啟動方法：方法：Win+R，輸入services.msc，注意服務狀態(tài)和啟動類型，檢查是否有異常服務。11、“文件”檢查項痕跡查找常見方法：1）回收站2）下載目錄：各瀏覽器下載目錄3）最近使用的文件：開始--運行--%UserProfile%/Recent或開始--運行--%userprofile%/AppData/Roaming/Microsoft/Windows/Recent/4）文件搜索歷史：資源管理器—搜索—最近搜索的內(nèi)容5）搜索新增文件：資源管理器—搜索—修改日期(選擇天數(shù))6）命令執(zhí)行歷史：7）應用程序打開歷史：8）瀏覽器歷史記錄：9）臨時文件目錄Temp：%UserProfile%/LocalSettings/temp10）文件歷史記錄：控制面板\系統(tǒng)和安全\文件歷史記錄(要事先啟用才記錄)12、“日志”檢查項Windows日志：應用程序：記錄安裝的應用程序執(zhí)行信息，警告，錯誤安全：記錄系統(tǒng)及程序安全相關(guān)的信息，包含諸如有效和無效的登錄嘗試等事件，以及與資源使用相關(guān)的事件，如創(chuàng)建、打開或刪除文件或其他對象。管理員可以指定在安全日志中記錄什么事件。例如，如果已啟用登錄審核，則安全日志將記錄對系統(tǒng)的登錄嘗試：Logon/SpecialLogon登錄/特殊登錄UserAccountManagement用戶帳戶管理SecurityGroupManagement安全組管理SecurityStateChange安全狀態(tài)改變AuthenticationPolicyChange身份驗證策略更改AuditPolicyChange審核策略更改SystemIntegrity系統(tǒng)完整性O(shè)therPolicyChangeEvents其他政策變更事件OtherSystemEvents其他系統(tǒng)事件系統(tǒng)：記錄系統(tǒng)服務組件的運行信息,警告，錯誤Setup：記錄系統(tǒng)程序/更新補丁安裝“日志”檢查項Windows日志文件路徑：Windows2000/2003/XP日志路徑：C:/Windows/System32/Config/*.evtWindowsVista/7/10/2008日志路徑:C:/Windows/System32/winevt/Logs/*.evtx該路徑下存放所有系統(tǒng)日志evt文件，無法進入系統(tǒng)時用PE引導拷貝出來，在用其他系統(tǒng)的事件查看器打開查看。“日志”檢查項安全日志事件類型ID：EventID(2000/XP/2003)EventID(Vista/7/8/2008/2012)描述日志名稱5284624成功登錄Security5294625失敗登錄Security6804776成功/失敗的賬戶認證Security6244720創(chuàng)建用戶Security6364732添加用戶到啟用安全性的本地組中Security6324728添加用戶到啟用安全性的全局組中Security29347030服務創(chuàng)建錯誤System29447040IPSEC服務服務的啟動類型已從禁用更改為自動啟動System29497045服務創(chuàng)建System“日志”檢查項日志查看：日志查看：方法方法1：Windows自帶事件查看器打開運行打開運行Win+R，輸入“eventvwr.msc”，回車啟動事件查看器。點擊windows日志/安全“日志”檢查項日志查看：方法1：Windows自帶事件查看器打開運行Win+R，輸入“eventvwr.msc”，回車啟動事件查看器。點擊windows日志/安全1）查看網(wǎng)絡登錄成功記錄：(篩選器--事件ID4624)（注意成功登錄時間）“日志”檢查項日志查看：方法1：Windows自帶事件查看器打開運行Win+R，輸入“eventvwr.msc”，回車啟動事件查看器。點擊windows日志/安全2）查看登錄失敗記錄：(事件ID4625/529)如果存在大量的登錄失敗，說明存在爆破嘗試；注意開始爆破時間“日志”檢查項日志查看：日志查看：方法方法2：導出安全日志，利用文本工具或LogParser進行分析?！叭罩尽睓z查項日志查看：日志查看：方法方法2：導出安全日志，利用文本工具或LogParser進行分析。13、“內(nèi)存”檢查項Volatility：https:///zaqzzz/p/10350989.htmlhttps:///sesefadou/p/11804566.html/qq_45951598/article/details/110914935手工檢查項總結(jié)我們要做什么目錄 1我們要做什么contents1

Windows手工檢查項Windows檢查工具Windows檢查工具火絨：進程\網(wǎng)絡\啟動項\注冊表等PCHunter:進程\網(wǎng)絡\啟動項\注冊表等PowerTools:進程\網(wǎng)絡\啟動項\注冊表等Procexp:進程\網(wǎng)絡\啟動項\注冊表等D盾：Webshell查殺牧云：Webshell查殺SangforwebShellKiller:Webshell查殺LogParser:日志分析LogParserLogParser：下載地址：下載地址：https:///en-us/download/details.aspx?id=24659工具簡介：工具簡介：LogParse是一個功能強大的通用工具，它提供對基于文本的數(shù)據(jù)（如日志文件、XML文件和CSV文件）以及Windows?操作系統(tǒng)上的關(guān)鍵數(shù)據(jù)源（如事件日志、注冊表、文件系統(tǒng)和活動目錄）的通用查詢訪問。LogParser:日志分析啟動軟件并打開日志文件:語句為：select*from‘path/to/logfile’LogParser:日志分析取消不需要的字段：LogPa