Windows应急事件
病毒、木马、蠕虫
Web服务器入侵事件或第三方服务入侵事件
系统入侵事件
网络攻击事件(DDOS、ARP、DNS劫持等)
通用排查思路
获知异常事件基本情况 发现主机异常现象的时间点和发现者 异常现象 受害用户的应急举措 异常原因 可能的入侵思路 可能存在的痕迹 获取Windows基本信息 机器名称 操作系统版本 OS安装时间 启动时间 域名 补丁安装情况 计算机的详细信息 检查相关日志 Windows日志位置: Windows 2000/Server2003/Windows XP %SystemRoot%System32Config*.evt Windows Vista/7/10/Server2008 %SystemRoot%System32winevtLogs*.evtx 日志审核策略 - auditpol /get/category:* 远程登录事件:RDP、PSExec 日志GUI分析工具: Event Log Explorer、Microsoft Messeage Analyser、ETL Viewer 、 Log Parser PowerShell日志操作: Get-WinEvent、Get-WinEvent -ListLog * 单条日志删除工具: EventCleaner、Eventlogedit-evtx--Evolution 检查账户 本地用户和组里查看,运行lusrmgr.msc 使用net usr列出当前登录账号,使用 wmic UserAccount get列出当前系统所有账户 检查注册表Hey...(需要管理员权限) 检查SID 检查网络连接 netstat -anob、 netstat -rn、 netstat -anob | findstr "443"、netsh firewall show all 检查进程 netstat -abno | find "port number"、tasklist | findstr PID、wmic process | find "Proccess Id">proc.csv 内存dump:SysinternalsSuite工具集的 notmyfault64 内存分析:使用Volatility进行内存取证、分析入侵攻击痕迹,包括网络连接、进程、服务、驱动模块、DLL、handles、检测进程注入、 检测Meterpreter、cmd历史命令、IE浏览器历史记录、启动项、用户、shimcache、userassist、部分rootkit隐藏文件、cmdliner等 检查开机启动和运行服务 注册表中关于开机启动的位置:HKLM... 关于开机启动需要分析的位置:开始菜单,启动项 任务管理器启动选项卡,或者运行msconfig,查看启动选项卡 运行gpedit.msc在本地组策略编辑器里查看开机运行脚本,包括计算机配置和用户配置 使用SysinternalsSuite工具集的Autoruns工具查看开机启动项目 服务状态,自动启动配置 PowerShell - Get-Service 检查计划任务 存放计划任务的文件: System32Tasks、 SysWOW64Tasks、 Windows asks、*.job(指文件) 使用命令查看计划任务: schtasks、运行taskschd.msc打开计划任务面板,或者从计算机管理进入 使用SysinternalsSuite工具集的Autoruns工具查看计划任务 检查文件 通过可以进程(CPU利用率、进程名)关联的文件 按照时间现象关联的文件 需要关注的文件位置:下载目录、回收站文件、程序临时文件、历史文件记录、应用程序打开历史、搜索历史、快捷方式、驱动、 进程DLL的关联查询、共享文件、最近的文件(%UserProfile%Recent)、文件更新、 已安装文件(hklm:softwareMicrosoftWindowsCurrentVersionUninstall)、异常现象之前创建的文件 检查注册表