windows应急响应以及安全巡检

About Windows Emergency response

Windows

1. 日志和记录

应用程序日志、系统日志、安全日志;默认情况下,如果系统不对事件做审核则不会生成安全日志。
开始→设置→控制面板→管理工具→事件查看器
Windows日志文件默认位置是%systemroot%\system32\config 
安全日志文件:%systemroot%\system32\config \SecEvent.EVT 
系统日志文件:%systemroot%\system32\config \SysEvent.EVT 
应用程序日志文件:%systemroot%\system32\config \AppEvent.EVT 
FTP连接日志和HTTPD事务日志:%systemroot% \system32\LogFiles\ 
IIS日志默认存放在System32\LogFiles目录下,使用W3C扩展格式

2. 进程和端口

任务管理器

netstat -ano > port-listen.log  //启动的服务
net start 服务名   启动某个服务
tasklist /svc //进程对应的服务
taskkill
启动的服务

运行services.msc
检查注册服务
wmic startup get caption,command 
//在命令行使用该命令得到Windows上所有启动项的名称与执行程序所在路径

3. 用户和用户组

win+R
计算机管理 compmgmt.msc 
本地用户和组lusrmgr.msc

net user //查看用户,但是看不到隐藏用户

regedit //打开windows注册表,通过注册表查看用户的添加
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\ 下是否存在隐藏帐户  //检查隐藏帐户 
1.HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\ //查看隐藏账户

4. 资源占用

任务管理器

通过cmd命令行输入 netsstat -ano 或者 netstat -ant查看端口,有没有疑似非法端口在传输数据,在任务管理器中找到对应的进程,将其关闭
netstat --help 可以查看其中文帮助手册

5. 计划任务

管理->任务计划程序->任务计划程序库
运行taskschd.msc

删除了计划任务
添加了计划任务

6. 木马,shell,文件

找到web服务器目录,对其进行木马文件查找

apache
tomcat
weblogic

数据库

mysql\lib\plugin目录没有发现异常文件
select * from mysql.func没有发现异常。

7. 启动项

通过查看电脑的启动项

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run //用户设置启动项

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run //系统设置的启动项

HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run //这些启动项关乎着操作系统的正常运行

8.小结

两篇手动进行windows以及linux系统的应急响应以及安全巡检写完了,下一篇是工具篇,把实用的好用的一些工具都放进去,尽量都以外链的形式进行展现。(PS:博客之后会开放留言界面,有问题或者有补充的都可以在下面留言。。。(虽然我知道没几个人看,手动滑稽))


Previous
WEB-文件包含 WEB-文件包含
About WEB Security 文件包含漏洞文件包含漏洞,通过包含的内容不同区分为本地文件包含和远程文件包含。服务器通过php的特性(函数)去包含任意文件时,由于要包含的这个文件来源过滤不严,从而可去包含一个恶意文件,而我们可以构
2018-11-09
Next
linux应急响应及安全巡检 linux应急响应及安全巡检
About Linux Emergency response Linux1.日志跟记录ssh ssh 后门 strings /usr/bin/.sshd | egrep '[1-9]{1,3}\.[1-9]{1,3}\.&#
2018-10-18
TOC