zoukankan      html  css  js  c++  java
  • 安全运维

    Windows应急事件

    病毒、木马、蠕虫
    Web服务器入侵事件或第三方服务入侵事件
    系统入侵事件
    网络攻击事件(DDOS、ARP、DNS劫持等)

    通用排查思路

    获知异常事件基本情况
    发现主机异常现象的时间点和发现者
    异常现象
    受害用户的应急举措
    异常原因
    可能的入侵思路
    可能存在的痕迹
    
    获取Windows基本信息
    机器名称
    操作系统版本
    OS安装时间
    启动时间
    域名
    补丁安装情况
    计算机的详细信息
    
    检查相关日志
    Windows日志位置: 
    Windows 2000/Server2003/Windows XP
    %SystemRoot%System32Config*.evt
    Windows Vista/7/10/Server2008
    %SystemRoot%System32winevtLogs*.evtx
    日志审核策略 - auditpol /get/category:* 
    远程登录事件:RDP、PSExec
    日志GUI分析工具: Event Log Explorer、Microsoft Messeage Analyser、ETL Viewer 、 Log Parser
    PowerShell日志操作: Get-WinEvent、Get-WinEvent -ListLog *
    单条日志删除工具: EventCleaner、Eventlogedit-evtx--Evolution
    
    检查账户
    本地用户和组里查看,运行lusrmgr.msc
    使用net usr列出当前登录账号,使用 wmic UserAccount get列出当前系统所有账户
    检查注册表Hey...(需要管理员权限)
    检查SID
    
    检查网络连接
    netstat -anob、 netstat -rn、 netstat -anob | findstr "443"、netsh firewall show all
    
    检查进程
    netstat -abno | find "port number"、tasklist | findstr PID、wmic process | find "Proccess Id">proc.csv
    内存dump:SysinternalsSuite工具集的 notmyfault64
    内存分析:使用Volatility进行内存取证、分析入侵攻击痕迹,包括网络连接、进程、服务、驱动模块、DLL、handles、检测进程注入、
    检测Meterpreter、cmd历史命令、IE浏览器历史记录、启动项、用户、shimcache、userassist、部分rootkit隐藏文件、cmdliner等
    
    检查开机启动和运行服务
    注册表中关于开机启动的位置:HKLM...
    关于开机启动需要分析的位置:开始菜单,启动项
    任务管理器启动选项卡,或者运行msconfig,查看启动选项卡
    运行gpedit.msc在本地组策略编辑器里查看开机运行脚本,包括计算机配置和用户配置
    使用SysinternalsSuite工具集的Autoruns工具查看开机启动项目
    服务状态,自动启动配置 PowerShell - Get-Service
    
    检查计划任务
    存放计划任务的文件: System32Tasks、 SysWOW64Tasks、 Windows	asks、*.job(指文件)
    使用命令查看计划任务: schtasks、运行taskschd.msc打开计划任务面板,或者从计算机管理进入
    使用SysinternalsSuite工具集的Autoruns工具查看计划任务
    
    检查文件
    通过可以进程(CPU利用率、进程名)关联的文件
    按照时间现象关联的文件
    需要关注的文件位置:下载目录、回收站文件、程序临时文件、历史文件记录、应用程序打开历史、搜索历史、快捷方式、驱动、
    进程DLL的关联查询、共享文件、最近的文件(%UserProfile%Recent)、文件更新、
    已安装文件(hklm:softwareMicrosoftWindowsCurrentVersionUninstall)、异常现象之前创建的文件
    
    检查注册表 
  • 相关阅读:
    什么是三元表达式,遇到三元表达式,你该如何去看代码执行的结果,下面的方法简单实用!!!
    遍历某一个标签中的内容;python+selenium定位到列表整体,使用for循环获取列表文本;可用于校验列表是否存在你需要的文本内容
    Selenium3+python3--如何定位鼠标悬停才显示的元素
    selenium中get_attribute的简单使用
    css层叠样式
    前端初识
    视图,触发器,事务,存储过程,内置函数,索引
    pymysql基本操作
    多态与绑定方法
    封装与组合
  • 原文地址:https://www.cnblogs.com/AtesetEnginner/p/11396796.html
Copyright © 2011-2022 走看看