最近一段时间给windows做加固防护,积累了几个小工具。
1.杀毒:火绒+火绒剑,windows10 自带的杀毒Windows Defender
2.日志记录:
sysmon
sysmon用来监视和记录系统活动,并记录到windows事件日志,可以提供有关进程创建,网络链接和文件创建时间更改的详细信息。细节:http://www.freebuf.com/sectool/122779.html
Applocker
开启applocker强制规则,并设置为仅审计模式
Microsft Security auditing 日志事件id 4688 为命令执行日志
3.网络连接:windows firewall control,当新的程序连接网络时候,会弹框提示是否允许,火绒开启网络防护模块也能达到这个效果。
4.加密:bitlocker ,truencrypt
取证工具:
1.pc_hunter
2.火绒剑
3.systeminternals工具包
autoruns 查看启动项
processexploer 查看进程
4.lastviews