About Windows Emergency response
Windows
1. 日志和记录
应用程序日志、系统日志、安全日志;默认情况下,如果系统不对事件做审核则不会生成安全日志。
开始→设置→控制面板→管理工具→事件查看器
Windows日志文件默认位置是%systemroot%\system32\config
安全日志文件:%systemroot%\system32\config \SecEvent.EVT
系统日志文件:%systemroot%\system32\config \SysEvent.EVT
应用程序日志文件:%systemroot%\system32\config \AppEvent.EVT
FTP连接日志和HTTPD事务日志:%systemroot% \system32\LogFiles\
IIS日志默认存放在System32\LogFiles目录下,使用W3C扩展格式2. 进程和端口
任务管理器
netstat -ano > port-listen.log //启动的服务
net start 服务名 启动某个服务
tasklist /svc //进程对应的服务
taskkill
启动的服务
运行services.msc
检查注册服务
wmic startup get caption,command
//在命令行使用该命令得到Windows上所有启动项的名称与执行程序所在路径
3. 用户和用户组
win+R
计算机管理 compmgmt.msc
本地用户和组lusrmgr.msc
net user //查看用户,但是看不到隐藏用户
regedit //打开windows注册表,通过注册表查看用户的添加
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\ 下是否存在隐藏帐户 //检查隐藏帐户
1.HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\ //查看隐藏账户
4. 资源占用
任务管理器
通过cmd命令行输入 netsstat -ano 或者 netstat -ant查看端口,有没有疑似非法端口在传输数据,在任务管理器中找到对应的进程,将其关闭
netstat --help 可以查看其中文帮助手册5. 计划任务
管理->任务计划程序->任务计划程序库
运行taskschd.msc
删除了计划任务
添加了计划任务6. 木马,shell,文件
找到web服务器目录,对其进行木马文件查找
apache
tomcat
weblogic
数据库
mysql\lib\plugin目录没有发现异常文件
select * from mysql.func没有发现异常。7. 启动项
通过查看电脑的启动项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run //用户设置启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run //系统设置的启动项
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run //这些启动项关乎着操作系统的正常运行8.小结
两篇手动进行windows以及linux系统的应急响应以及安全巡检写完了,下一篇是工具篇,把实用的好用的一些工具都放进去,尽量都以外链的形式进行展现。(PS:博客之后会开放留言界面,有问题或者有补充的都可以在下面留言。。。(虽然我知道没几个人看,手动滑稽))
