安全运营 - Windows系统攻击回溯
内容导读
互联网集市收集整理的这篇技术教程文章主要介绍了安全运营 - Windows系统攻击回溯,小编现在分享给大家,供广大互联网技能从业者学习和参考。文章包含2363字,纯文字阅读大概需要4分钟。
内容图文
![安全运营 - Windows系统攻击回溯](/upload/InfoBanner/zyjiaocheng/956/7b0cd197bab748a6871aaa781e263540.jpg)
Windows应急事件
病毒、木马、蠕虫 Web服务器入侵事件或第三方服务入侵事件 系统入侵事件 网络攻击事件(DDOS、ARP、DNS劫持等)
通用排查思路
获知异常事件基本情况 发现主机异常现象的时间点和发现者 异常现象 受害用户的应急举措 异常原因 可能的入侵思路 可能存在的痕迹 获取Windows基本信息 机器名称 操作系统版本 OS安装时间 启动时间 域名 补丁安装情况 计算机的详细信息 检查相关日志 Windows日志位置: Windows 2000/Server2003/Windows XP \%SystemRoot%\System32\Config\*.evt Windows Vista/7/10/Server2008 \%SystemRoot%\System32\winevt\Logs\*.evtx 日志审核策略 - auditpol /get/category:* 远程登录事件:RDP、PSExec 日志GUI分析工具: Event Log Explorer、Microsoft Messeage Analyser、ETL Viewer 、 Log Parser PowerShell日志操作: Get-WinEvent、Get-WinEvent -ListLog * 单条日志删除工具: EventCleaner、Eventlogedit-evtx--Evolution 检查账户 本地用户和组里查看,运行lusrmgr.msc 使用net usr列出当前登录账号,使用 wmic UserAccount get列出当前系统所有账户 检查注册表Hey...(需要管理员权限) 检查SID 检查网络连接 netstat -anob、 netstat -rn、 netstat -anob | findstr "443"、netsh firewall show all 检查进程 netstat -abno | find "port number"、tasklist | findstr PID、wmic process | find "Proccess Id">proc.csv 内存dump:SysinternalsSuite工具集的 notmyfault64 内存分析:使用Volatility进行内存取证、分析入侵攻击痕迹,包括网络连接、进程、服务、驱动模块、DLL、handles、检测进程注入、 检测Meterpreter、cmd历史命令、IE浏览器历史记录、启动项、用户、shimcache、userassist、部分rootkit隐藏文件、cmdliner等 检查开机启动和运行服务 注册表中关于开机启动的位置:HKLM... 关于开机启动需要分析的位置:开始菜单,启动项 任务管理器启动选项卡,或者运行msconfig,查看启动选项卡 运行gpedit.msc在本地组策略编辑器里查看开机运行脚本,包括计算机配置和用户配置 使用SysinternalsSuite工具集的Autoruns工具查看开机启动项目 服务状态,自动启动配置 PowerShell - Get-Service 检查计划任务 存放计划任务的文件: System32\Tasks\、 SysWOW64\Tasks\、 Windows\tasks\、*.job(指文件) 使用命令查看计划任务: schtasks、运行taskschd.msc打开计划任务面板,或者从计算机管理进入 使用SysinternalsSuite工具集的Autoruns工具查看计划任务 检查文件 通过可以进程(CPU利用率、进程名)关联的文件 按照时间现象关联的文件 需要关注的文件位置:下载目录、回收站文件、程序临时文件、历史文件记录、应用程序打开历史、搜索历史、快捷方式、驱动、 进程DLL的关联查询、共享文件、最近的文件(%UserProfile%\Recent)、文件更新、 已安装文件(hklm:\software\Microsoft\Windows\CurrentVersion\Uninstall\)、异常现象之前创建的文件 检查注册表
内容总结
以上是互联网集市为您收集整理的安全运营 - Windows系统攻击回溯全部内容,希望文章能够帮你解决安全运营 - Windows系统攻击回溯所遇到的程序开发问题。 如果觉得互联网集市技术教程内容还不错,欢迎将互联网集市网站推荐给程序员好友。
内容备注
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 gblab@vip.qq.com 举报,一经查实,本站将立刻删除。
内容手机端
扫描二维码推送至手机访问。