Windows應(yīng)急響應(yīng)及隱患排查思路

Windows應(yīng)急響應(yīng)及隱患排查思路一、安全事件分類.Web入侵：網(wǎng)站掛馬、網(wǎng)頁篡改、Webshell.系統(tǒng)入侵：主機(jī)漏洞、藍(lán)屏/重啟、網(wǎng)絡(luò)協(xié)議/服務(wù)弱口令/未授權(quán)訪問.僵尸網(wǎng)絡(luò)：遠(yuǎn)控、后門、木馬、勒索軟件、挖礦病毒、蠕蟲.信息泄漏：脫褲.網(wǎng)絡(luò)攻擊：DDoS、DoS、ARP、DNS劫持二、排查思路什么時(shí)間？什么現(xiàn)象？做過什么處理？當(dāng)前狀態(tài)？受影響主機(jī)范圍？該現(xiàn)象可能產(chǎn)生的原因？可能留下的痕跡？是否部署安全設(shè)備/產(chǎn)品？有無相關(guān)記錄？網(wǎng)絡(luò)環(huán)境架構(gòu)？是否提供賬號密碼可登陸受影響主機(jī)？是否存在過某些漏洞/弱口令/數(shù)據(jù)庫/中間件/高危端口？三、排查項(xiàng)目.賬戶異常賬戶.打開cmd窗口，輸入lusrmgr.msc命令，查看是否有新增的賬號，如發(fā)現(xiàn)存在非系統(tǒng)及用戶所創(chuàng)建異常賬戶，立即禁用或刪除。.使用netuser列出當(dāng)前登錄賬號3,使用wmicUserAccountget列出當(dāng)前系統(tǒng)所有賬戶隱藏賬戶.在桌面打開運(yùn)行Win+R,輸入regedit，即可打開注冊表編輯器；.選擇HKEY_LOCAL_MACHINE/SAM/SAM，默認(rèn)無法查看該選項(xiàng)內(nèi)容，右鍵菜單選擇權(quán)限，打開權(quán)限管理窗口；

.選擇當(dāng)前用戶（一般為administrator）,將權(quán)限勾選為完全控制，然后確定，關(guān)閉注冊表編輯器；.再次打開注冊表編輯器，即可選擇HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users；.在Names項(xiàng)下可以看到實(shí)例所有用戶名，如出現(xiàn)本地賬戶中沒有的賬戶，即為隱藏賬戶，在確認(rèn)為非系統(tǒng)用戶的前提下，可刪除此用戶。克隆賬戶□d盾.rar1.以管理員權(quán)限運(yùn)行d盾Window.1.以管理員權(quán)限運(yùn)行d盾Window.Sp幼括Mjwe.Faren甘用巾:域:而內(nèi)置上口3.非管理員權(quán)限用戶運(yùn)行甘用巾:域:而內(nèi)置上口3.非管理員權(quán)限用戶運(yùn)行hit就//^ww.d59ML巾期--TI—Uh.漏洞涉及弱口令、未授權(quán)訪問漏洞、系統(tǒng)漏洞、應(yīng)用程序組件漏洞、端口、進(jìn)netstat命令參數(shù)詳解，常用命令：netstat-ano、netstat-anob、netstat-ano|find/findstr"PID/PORT/連接狀態(tài)”

C：\IFNIOiS\5yst.pni^2>notsttitTi邑市動■我蔬評情電也名正TCP/IP區(qū)尋連接，NLTSTAT?]--hl~~e~\f-fl[f]「f]「-口nr<itolf-r][r]7-x][-z][interval]-u 靈示所定連接和假所喘口.b 早考主劊或每門走接或偵聽埔口時(shí)涉及的再執(zhí)布希.序.、主榮些情況下,已打可軌歷程序裝找——立的組件,泣理精況下.鯉示電，龍斑宙或使唁苦口於步用的舐七片拜『在上宿況\可執(zhí)行程序的￡年|工：考每n中，仁調(diào)用的編件性『畫界，直至達(dá)到—13注意，—可能很耗時(shí).——足夠 范眼可可空為邛， _ _U 堂親丈關(guān)冏髭肆存豆.此鞋項(xiàng)可以與F.選項(xiàng)封臺悒用.-f 顯示外與地址的完全隈定 —即6J || 頊二挈翡茶復(fù)孟地址和至5kF 瞟去擁市前可支溪抵美易J那程W|-pprow 顯余“*tci+。據(jù)定的，議徜注連：pm6可以懸下列任演一個(gè)：FCP,DDF,TCPvfi或［ILPvfi,由事由-s唯項(xiàng)一越用來顯示新力林議的跣計(jì)怙息，proto可以是下列任何一個(gè)：IP,H、6.ICMP、KMfWICT,TC13v6,ODP或UDPv6flH 顯示所市連推.偵聽揭口向裟定的非值力T「P*口、苗定的非傀所店口下一友片陸空芝摟桐去京.-r 顯示路由去”r 昆示導(dǎo)個(gè)林議的建七信息“默認(rèn)情況下、顯示1P.IPv6,ICMP.JCMPvfl.TCP,TtAkU計(jì)和UUF誠的處甘信惠:-V選項(xiàng)可用于指定默認(rèn)的子用。L 顯示當(dāng)面逐按煒儀狀忐;■f 顯示^LwuikDirecL連接.偵聽善和共享蜷亳盛.-/ 顯示斯在淬費(fèi)的TCP推捶攆亞-元法與其地這項(xiàng)“合使用,interviil 豆新昱不讓沌的筑寸信總，各可巴，可留停的可衿吊軟。壇C1KI.K何止重新月不結(jié)計(jì)信息。加果密晤.用nMstJJt粉打印當(dāng)前的配置信息一次二tasklist命令參數(shù)詳解，常用命令：tasklist/SVC、tasklist/V、tasklist/SVCfind/findstr"PIDC：\kI^l)TlttS\s{yst<?,i2>tiiskIist/?TASKI1ST17ksyslt'iu「川LYrnHiie[#Fpjisswfird111f/K【初duh，〕SV€Al17HitIler_17m1'oriuitl[/ffll描述二崔丁具顯示在本擄或地程黑卷二H南運(yùn)行的進(jìn)程列需，.或效則兼:/Ssystem檔旋汽挾包的遠(yuǎn)程兼密口/UFd^minXlu^er措定應(yīng)詼在噂個(gè)月立卜：；執(zhí)行這卜布會..■T[passwurdl為提供的用戶----■^KW.如果省電.叫提示輸入，/M[nnduIr]一出當(dāng)前使用所給eie/dll名都的所有任務(wù)：紅孱大肓指工保塊官耕，顯示F有制我卸燃炭./S'.i'顯木笄不■注欄中主持的馬三］/APPS星于HiuruauftStoru應(yīng)用及其關(guān)戟的雄哩，/V顯示詳犯任齊信忠J.FLFlliter昱-一系列符咨睛逐暴揩定條，產(chǎn)的任務(wù)：.■'KOi'drmat.:---"，三南敕值:"TABLE',LIST'.rCSY\/NH檔虛列片就不立燃一輸出中顯示“只時(shí)T,M!H/和'CSV幡式有版.顯示此幫助清思。

wmic常用命令:wmicprocess、wmic常用命令:SO管理員命令提示符-wmicMicrosoftVrindowsTil4^10.0.17134.706](c)2018MicrosoftCorporalion0保留所南權(quán)利口pWl^ID0WS\syst9in32>?icwmi.c:root\cli>process-I 顯示所有進(jìn)程檢查方法.通過netstat-ano|findstr"ESTABLISHED"查看當(dāng)前網(wǎng)絡(luò)連接狀態(tài)，定位異常.根據(jù)netstat定位出的pid，再通過tasklist/svc|findstr"PID"進(jìn)行進(jìn)程定位□J加眥格皂 ITFi研丁史 _ F .rcftCiE—E14就E342B22796票曬2⑶6空應(yīng)內(nèi)URO」2632B因仙LLSlMESI皿巴融EiSTAHLISHiD￡srrABiisn：ofcrABLTSlTD初.肛店俺口EdXMlSKUHaizirDSiafLiindmsID.0.07134.705]G：□J加眥格皂 ITFi研丁史 _ F .rcftCiE—E14就E342B22796票曬2⑶6空應(yīng)內(nèi)URO」2632B因仙LLSlMESI皿巴融EiSTAHLISHiD￡srrABiisn：ofcrABLTSlTD初.肛店俺口EdXMlSKUHaizirDSiafLiindmsID.0.07134.705]G：!,i1j：|JUifC--irnr>rn.iEm：*首/，帆*LNlci-ii^dI-LViadciirjj[(&.#ID.aiTIM.7U]《$201.flMEcrRKDftC.Drp^rutiaBi^保W.所事"根列:127.0.0.1127.0.0.1127.0.0.1盹915I-'.1：i.i.I.I.'：?J27.nmLigfi舊工I國.L192.IES.L127.0.0.li29^3127.0.0.1j2Moe127.0.0.1：29D3Sl:M20l：M221；&?EH&47A6KFTCPKFTCPTCPKPTCPKFKPTCPTCPKPTCPTOKPTCPKPKFTCPKFTCPTCPKPTCPKFKPTCPKFKPTCP192.I國.L193.Iffl.1.192.168.LI阻煙.LE5TAIF.ISIfiDfiST.lluXSHiiDESTABllStEDESTAM.TSfeiEST*lLM因皿出舊5TUHLI5I1汕ESTABtlSffiD配JABUSK口^TAR.LISWDESTABLISH口ESTT皿巴融ESTABUS陛I?ESTAMJSM口HSTAKI.ISHHJEST血.圖必127.Q,0,1；3W54127.0.QJ!37730127.0.0.li37731127.0.&L3和2127.0.0.1:56TD3127.0,0,]；58R]4ESTABLISHEDESTABITSITDf-STAR.LlSHKLiEST<I14.ISHI：Dt:5TAHLI5ll:DliSTAIlLISMIiD一.一L：L-1.27.0.4.1;1565127.0,-Q-1：2302]127.0.0L290E0：,7Q；：l127.0.#1-20022122H也L渤川127.0.4.1:29033127.0.-0-1:30054127.a.flI；30053127.0.0Ism31]<!'?.0^.11377301.27.山機(jī)L5ST儲927.*也1:55702127.0.0.Lf^BIS127,0,0_LS9914mll?L29.4i：4-I3I2L5L]3C.IOiiBO蓑.嗚$2隅.9曲4494J.lSfi.235.9B：443里思89,233.10ft；4432^2.99.233.10fr：413皿89.213.l&：h4-3：J.202.89.2圖.IM117.LB.237.29^3D117.IE.237.29-3D&fl^A2.24]；443輒網(wǎng)IT佻的33L3M.HM.IB?：44329D2D2902129022I9K.Iffl.1.1盛J網(wǎng):L:鈾解Sywte1照卜司01肌fdo|門口也【「飛』岫口馴￡口?fHhUMJFI3l,36flKRumiinii1:31；24CandiduleWIndrMiiK&cuiablel'B.ihCi\Frap：r；LfliriDeis(工i牢IJi口k\na誦ih:urTBfil_ Ik.u-keiKccutinnStut4Etdl"」眺tfandleCDUJit=2l27k[iiflaB[hLt!=除ri/IHiKleliw-2匿I脂312S0inu口阮irkl i工總]價(jià)0Mininunli-cnicin^tSiEe2DQpkme=I>in^TdIk.bke快也uiwHIckgftKludge10號庭中.文版|口”]皿卿|，。日112聯(lián)施1*11噸的加1”由113：pLbtJj-Operul口traCauEiI;=i77S1]3pLbwrTimKfprCjxjnl：nd2D53S，附Fiiults;二工I?！砍狪PuflfFilell^^-&4R38flFdreniPnxeisId=174-10p^j；Pu^efilelJsiiae=tiiyL88]/iJc,iitui&lSiLe-lnDfil52^48居2655dflPritfirit7=EFrivat6FaReCiHjnt=663949312Prwfn?[d=1550ftpJHlEhs胖dPtu卜IIDjiime-9Sil&iiJlal*giikMciGl^y^dPcH4Ujiiigg953IiSEflfi]U5配189218921892IS兜IS92I￡92I2I.36鍬』”把E:也用39訪4020"49i5"4067496M蛤T3727372"372，：.”z?L一???口；!■門小口『?川心上讓出「舒 phthdl現(xiàn)工力區(qū)lai,se|異?！猣lEHfiL匚一月IYD0ffS\ST^m32》t&aii5；t/vL^dstr■|fi5Gfl'DinitTdillk.eie IE?Gon制“日DESKTOP-附卻F1盾1網(wǎng)口IsJjrfiDf口l川NDOtStiTKLHia”? \PrciffnmiFilesfx86^J}in^Dir[q^i*aln\cLirrefitnew^B-inaTeillk.二四嶺里總:產(chǎn)舟將麗-M：ri口1■力/i-DEiihTzjIk_tf-icer.兩.1!?W閭1RIIS修出1.：】如3JT337ESTXm.lSHiiD1：；胸[?川；"337ESTABIISHKD1：：5G20[■:1-：35432ESTAHITSITDL二5023r：r■35432ESTARJLlSftfD1,L5跳(..L：35132ESTABllShED1儂：L：:人此GST皿出HED1|:7H7[::l;：I59]tiSTANJSWD11；7337[?川；159gESTABLISH^r1:7337[-：r:1煙ESrrARlTSlTD1闋，LilL也腳5.ctrl+alt+delete打開任務(wù)管理器，或點(diǎn)擊【開始】＞【運(yùn)行】，輸入msinfo32,軟件環(huán)境，正在運(yùn)行程序，查看進(jìn)程詳細(xì)信息.借助ProcessExplorer、D盾、TCPView等工具排查可疑進(jìn)程/子進(jìn)程：沒有簽名驗(yàn)證信息的進(jìn)程、沒有描述信息的進(jìn)程、進(jìn)程的屬主、進(jìn)程的路徑是否合法、CPU或內(nèi)存資源占用長時(shí)間過高的進(jìn)程常用漏洞摸排(具體poc或方法，詳見附件。)Weblogic反序列化Jboss反序列化⑶Struts2命令執(zhí)行心臟滴血漏洞⑸Spark未授權(quán)訪問漏洞⑹Mongdb未授權(quán)訪問漏洞⑺ElasticSearch遠(yuǎn)程代碼執(zhí)行⑻ElasticSearch任意文件讀取Redis未授權(quán)訪問ActiveMQ任意文件上傳漏洞Zookeeper未授權(quán)訪問.目錄及文件.在服務(wù)器各個(gè)目錄(網(wǎng)站根目錄、Temp/Tmp目錄、文件上傳目錄)，可根據(jù)文件夾內(nèi)文件列表時(shí)間進(jìn)行排序或搜索指定日期范圍，查找可疑文件、異常文件查看文件時(shí)間，創(chuàng)建時(shí)間、修改時(shí)間、訪問時(shí)間。通過對文件右鍵屬性即可看到詳細(xì)的時(shí)間或通過dir/tc文件名來查看創(chuàng)建時(shí)間.單擊【開始】＞【運(yùn)行】，輸入%UserPrfile%\Recent，分析最近打開過的可疑文件C:\DocumentsandSettings\Administrator\RecentC:\DocumentsandSettings\DefaultUser\Recent.單擊【開始】＞【所有程序】＞【啟動】，默認(rèn)情況下此目錄在是一個(gè)空目錄，確認(rèn)是否有非業(yè)務(wù)程序在該目錄下.查看瀏覽器瀏覽痕跡、瀏覽器下載文件、瀏覽器cookie信息.服務(wù)

L 【運(yùn)行】，輸入services.msc，排查是否存在異常服務(wù)件虛目如牛耳AWBVX1KW?，I而I坨'IR面|卜卜■■21呼RAtjhvXImldhr|Aiinrl￡iV|。Aujrwtii口1呼RAtjhvXImldhr|Aiinrl￡iV|。Aujrwtii口AoirKDiDash占qMlJio”RouirSf^iceMiAppRMdhME&由卬uMnblle口tvk營Sente&a巾karisinldE?工心用dtirmi羯eimE身AppJicdiiinL用《rLkibrMM^Smtmeb二i：ApplicrtiDnMirugirTHril.白AppXOtpla^-TTwnl%rvic.i^ppX^VCl■￡,'：AiiUgnrdArCEniMKHgirwctp%48靠也呼y2lree<fige?TrisnsFer'Serose母日.￡g3同TasksInfrasvucttftSeHce設(shè)日麗(■rhsdMEnghs百日機(jī)配巾口d?uEnc^pIfeftService：：用MInln-nrt文注悖聞炳用f一位射年近.蚌西?1^■用用語叼后乂梯/Im-修圖不：《加陽”曹尸■的川U5淌且」I□事等止出a若.!2!BB:￡Hl^ifiaH?：AlUaiynK=Wfi當(dāng)用戶皿民做岫Et租工儂用巴包*1同用越妥，smfcliKtheloApplemob>edt^kei.越雌己研修抽:包=L鬢用出的45用」S^!蚱5Lm降*?期?獻(xiàn)上￡氏序田:主也正用IW吐HfiimStMJndffiS.nF無法■王*的鼻根果它訶這尾J312鵬四5蹣#寓處三Edi用￡氏抬匕.ctQnwg鍬t-iBLj.afssfljp, 碘smr何聲將k—.1?匹_.力0-3hr?DS:￡lb.應(yīng)用EM中如?忤無J?,L^ftWWSa]. MtroinftS..Aaii^-HdArcni-iMinB9fr擊43^^園W3吩源用相蠟附以斜曼用期國嘲Rrara再占也h由mftRflgHEi用.￡kb*于 匕抹臉用血年加小必加巨，受理事主西占曲河口3?說上￡三的'就H金的KHK陽品ttss正在的正在運(yùn)行正在反行JEffiB行正在4E行正在后廳正在山行正曲行正在反行2.在PowerShell2.在PowerShell下輸入service培告醫(yī)員_:WindowsPowrcrShellVindaYSPaverShell上口：極斫有(C]ffliciosoftCarporatLotio保留所有枚利。[PSC：\￥IND0￥5\3ysteii32^serviceStatusH皿匕StatusH皿匕DisplayNamctj.uiijingRunningRunningStoppedptoppedkiirdjingStopped.RunningStopped.StoppedStoppedRunningRunningStopped.tj.uiijingRunningRunningStoppedptoppedkiirdjingStopped.RunningStopped.StoppedStoppedRunningRunningStopped.StoppedStoppedRunningStoppedStopped.RunningtLiirdjingStopped.EunningStopped.Running1j.ukjingRunningStoppedRuniungRunniiigStoppedRunningStoppedStopped.RrniningtLiirdjingRunning上工inningRumungStoppedStoppedAcTuieiixAcimeiiiDatabaseAcuWSSchedulervlD或JRduqch更GAppHostSvcAppIE'SycAppinfoAppReadinjessAppKSvca3pnei_stateAudioEndpointBu,..AudiosivAilnsiSVBcaslIiVRIJserSer..，BDESVCEFEBITSB_uE±aothUscrSe...BonjourServiceBzokezlnfrastru,..BTAGSeiriceBlhAvclpSvchihseiTcansvcCDPSvcCDPUseiSvc_ddcS97CextFl:opSvcClickToEjumSTDClipSVCCOKSysAppCoHuNej3%inwRc.?,cphscplspconCzyplSvcCiAudNsgCzUtilSrcH1X2APIDcoiiLaunahdebugiegsvcdefragsveStateSeiviceAudioEndpointBuililexAudioInsiallcT(AsIiLstSV)和廣播用戶服務(wù)_ddc597ASF.NETWindowsWindaursActivicXGajieDVRAcxmetix:AcwietiiDaiabaseAcuneiirW￥SSchedule!￡0AlLJoyuRouicrSezrviceAppLicationLayeiGalev^yServiceApplicationHostHelperSar^caApplicationIdentityApplicationInfomationAppEtfiadinessAppKlieploynentServiceSppKSVC)鑿牙用尸需茸服藥ddc597Fimj"i.1P-EacMground'.ajjc籃牙替頻網(wǎng)關(guān)服務(wù)MicrosoftOffice即點(diǎn)即CllentLicenceServiceOOH4SystemApplicationCuteMsssavinsIntel(E)CantentFrotectianHEC工Se.u.Intel(R)CantcniProtcctianHEEPSe...CzyptojiaplLicSeivicesConsxsiitAudioMessageSezviceCzUtilSrcDolbyDUGAPIServiceDCCMSexvciProcessLauncherdebugregsvcOptimiaeiitives5.啟動項(xiàng)

L 【所有程序】＞【啟動】，默認(rèn)情況下此目錄在是空目錄，確認(rèn)是否有非業(yè)務(wù)程序在該目錄下

2. ＞【運(yùn)行】，輸入msconfig,查看是否存在命名異常的啟動項(xiàng)目，是則取消勾選命名異常的啟動項(xiàng)目，并到命令中顯示的路徑刪除文件3.單擊【開始】＞【運(yùn)行】，輸入regedit，打開注冊表，查看開機(jī)啟動項(xiàng)是否正常，注冊表項(xiàng)如下：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunonceHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\RunHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunHKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\RunHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce(ProfilePath)\StartMenu\Programs\Startup

4.gpedit.msc在本地組策略編輯器里查看開機(jī)運(yùn)行腳本4.gpedit.msc在本地組策略編輯器里查看開機(jī)運(yùn)行腳本1.6.會話、計(jì)劃任務(wù)1.命令行輸入netuse、at、schtasks.exe，檢查計(jì)算機(jī)與網(wǎng)絡(luò)上的其它計(jì)算機(jī)之間的會話或計(jì)劃任務(wù)I'.：\liIndc?￡,\SyriiAB22-EMiu%而留記殺卡的艮珞桂4t.利賽是空的.(11C.z\fcIMkyrsAWi白b223l(11_?…一…?「請直擊schiusiLs.ei?B不支楮模事求.J'■*IndjrsAGwtaiflsSchiu^kz文件先;\任各名^utiiPicDDailyRhE「I_4jihi|；IdJpcULrTu^klkch1日式u『白4jihicIH>pckL由Tu油，LchgiaLIAIntelPITEKRBCBTtlfLcfllknHuftfrirEegdintim文件先;\任各名^utiiPicDDailyRhE「I_4jihi|；IdJpcULrTu^klkch1日式u『白4jihicIH>pckL由Tu油，LchgiaLIAIntelPITEKRBCBTtlfLcfllknHuftfrirEegdintim(『upttu}3019418￡2；!59.noVrAfeIo?onXeTtuknpuupRfisLchdiigJIvDtINvHnd.ui-I.liiT^L.h. IJIH6-Hbe.liit]952HJI皮-M-3019/4.I&2019X4X1@附區(qū)整瑞祖常MANA201卻‘01后1A=KW99：O2：1592：25：51^vPriifild.bdtitrrftiilF?:H2FEI儂PI的76c3019/4/15NvPtnfiM.JDdul^rrHL?ii：I12FEJ%2-0186-1乂乩恥TmMeIB2HH195E-OiSS-46C3-B^C-AROAA35M-A%l」M“j喟”ul￡239S2liIlu：：l!JJM.-ASvTuk.^：li2PR1952-0]&i^&l：a-aifiC-AfiOAA25/口9416IZiZ5:1TmwhlimSi.unduIr?HUpduieTitsk-S-i-E-SlfliH”*StHnduIrne-QdiiiuTas&.-S_1-5-EIHlHU人行祝悟文仝控件笠會看入租序l￡：：￡Bc?F20l$"門》g：24：572OI0/4X196:57:43N/ANZ1文件表：\Lannvn任務(wù)3史屈韋科向聲息：目師在律的話間能對上軍存在任何可.用的計(jì)劃任事.文件表：\LaniiVii'1.luL'ijDLrii11af任香冬2.單擊【開始】＞【運(yùn)行】，輸入taskschd.msc或從計(jì)算機(jī)管理進(jìn)入，直接查看計(jì)劃任務(wù)2.3.存放計(jì)劃任務(wù)的文件C:\Windows\System32\TasksC:\Windows\SysWOW64\TasksC:\Windows\tasks\7.注冊表注冊表目錄含義名稱作用HKEYCLASSESROOTHKEYCLASSESROOT存儲Windows可識別的文件類型的詳細(xì)列表，以及相關(guān)聯(lián)的程序。HKEYCURRENTUSER存儲當(dāng)前用戶設(shè)置的信息。HKEYLOCALMACHINE包括安裝在計(jì)算機(jī)上的硬件和軟件的信息。名稱 作用HKEY_USERS 包含使用計(jì)算機(jī)的用戶的信息。HKEY_CURRENT_CONFIG 這個(gè)分支包含計(jì)算機(jī)當(dāng)前的硬件配置信息。賬戶：HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users啟動項(xiàng)：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunonceHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\RunHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunHKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\RunHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce(ProfilePath)\StartMenu\Programs\Startup8.日志系統(tǒng)日志.啟用安全審核策略：已管理員身份運(yùn)行cmd,輸入Auditpol/set/Category:System/failure:enable，重啟服務(wù)器生效.Win+R打開運(yùn)行，輸入eventvwr.msc，回車運(yùn)行，打開“事件查看器”!*巴電星星圖弱有轉(zhuǎn)發(fā)事件311gmLT：3T1.3站一1rtlW/lfr|i軻H2ZDIT/5/m門EHHlglBLI.31M福MhTjffl/翼il3414<Taairre露ah：34：ij汨3JIHW電11:34:11犯zniT/5/mn-w134TaSlT/E/mLI.3113福2AlT/5/iail34IS*311gzIB11:34:1J4tEDIT國IB11:31:13：■lct<TZDIT/5/mZDFJd寫「日事稹淚 I果壹I事至二史紀(jì)事件賴22.TBTE一二?市市雨南一■市審市審亍打開便押的日志一rea白定義融.寫人自定義如一施日毛T瑞浩由日志Z毗?宜找kJ朽所內(nèi)甲作力在為把住心用mt日志wt4GM.M3wt4GM.M3色gFr時(shí)福Sri安兆豐照r M1fc1fc11taMi11111gB1fB1rt11taMi「事件?性回招忸*件i；;1?JU保存達(dá)A的串洋及作正在新口輔友事件固應(yīng)用理解和解日志回1H.fi?dnii日志￡1莊月直厚4E24.WisrmiA1Li>lO|舞%:Hk3-

,?■*

.fr敢由被

值失歡子曲徑巾裳及作正在新口輔友事件固應(yīng)用理解和解日志回1H.fi?dnii日志￡1莊月直厚4E24.WisrmiA1Li>lO|舞%:Hk3-

,?■*

.fr敢由被

值失歡子曲徑巾裳.；詞月萬出近調(diào)用方避（8卷:1站陪n1作網(wǎng)*

ffT-s去她用聲居成密四國談.mi：?o洋域易褥拒還徜￡：

登豪注程：卡■華整:迂款裾也：KtLH后強(qiáng)罩指二翕后也拈I僅RIHT1HI!鉛制箕*； UOMOfR"(My『.q.懼,慳正際晅b|，■失去餐蛾區(qū)Q楸fa最號眼失tk時(shí)在塞試詩H的訐力機(jī)上生裝此事件,?主座一季霞指用本地系蛻上錯琳豆最的擇戶.這卻零是一個(gè)服務(wù)曲加3.?=用寄I或本地處理曲加-Rg.?agugb?_K?k符兇謫事件另在力將任期用巾5啦曰寺董事919Q幫助日志導(dǎo)出至文本格式，使用文本編輯器打開并用正則表達(dá)式（（？：（？：25[05][2[04]\d]((1\d{2})|([19]?\d))).){3}(?:25[05][2[04]\d|((1\d{2})|([19]?\d)))匹配IP地址.導(dǎo)出應(yīng)用程序日志、安全日志、系統(tǒng)日志，利用LogParser進(jìn)行分析.登陸類型ID含義E7■'-rt*W**.彳依<苔—工*?*±：冷tWU&LI*用僧出社鼻石：1■iW31km?vn^VMjj沖整制的升溫tsMuM13￡f?r^_HJJLv330wi0_HU咄?k4v"*|=上L--?15h-UMi. MmeMW/EM?hi □一?“：!Tiir^vtUMrKaHrwWQT* 二皿中科gnTnmMrRjrtK網(wǎng)ry■TJIFMiLMOHldCN3：Il有而一盲]"LQ^EihPiik.M4N^iruXMpiJiuHwntkrliar#adra9^nw n八H尸Work*Hq刷N告E青LgaMiuM iinaxnfu/mDXXHngHjmaHiimDO期TrA*ifvih.1in^!VnIfni￡?yt4ngr^ ^PrwwridPNKh加1*匚3*dMrth如tit￡fnUwvk#iqe 7110rl孫山?y*1*1amiijiriFW■\聞出如￥$<n^Th?ii□目WOTW?=-fffc口^4uoiH^cfiwdHlC-rtnii-黨maw工^bjflirifx!±iMF!n”[取用中鼻口r”的“im*wmt丸iWH仃?.EfE]”1即爐*“72中；|，F(xiàn)?幻”1即我■/￡??!!--_仃田由CE?,vxasxw*■?*MhmTI:114(Hr?i/ Q-Ii?研ILAB1>T?w'tf3■C|、YTDMB> ■"■>WW **■l-HU'J'MW^<Q*utaHw「*b|KtWMW-M!EfiCTgaM^U，$qngCmiIjHhkBabJnUGurwflHHiK' 嘈I〈U.?!^UUHMM'Hb|?CI3&^NiUf.-?Jv?,"VljUII3!CvuUm"lar^cUjAMrSci.SXS2出3m■CMU iTTKrklH]U—『力UIlufw^-Idrqfi^MWBil>iAm---HiTAiirili?n*..：<u^HWd 叫：了■arV>Fl^q1西門口力：口TH>II0-11&g IICvUIwm''Lffl