应急响应-windows篇

常见的应急响应事件分为

web入侵:网页挂马、主页篡改、websehll

系统入侵:病毒木马、勒索软件、远程控制后门

网络入侵:DDOS攻击、DNS劫持、ARP欺骗

入侵排查思路

检查系统账号安全

1、检查服务器是否存在弱口令,远程端口端口是否对公王开放

2、查看服务器是否存在可疑账号、新增账号

net user test passwd /add //添加一个隐藏的用户,在用户名后面加就是隐藏用户

net localgroud adminstrators test /add //讲test这个用户分配到管理组

因为我的电脑没装windows的虚拟机就不演示了

然后如果要进行克隆就需来到

计算机\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users

这个目录下

讲root的uid给test然后将上面000开头的删掉换上替换的这样test就有的root权限。

3、查看服务器是否存在隐藏账号、克隆账号。

4、结合日志,查看管理员登录时间、用户名是否存在异常。

2、进程

  • 检查方法:

    a、开始 -- 运行 -- 输入 msinfo32 命令,依次点击 "软件环境 -- 正在运行任务" 就可以查看到进程的详细信息,比如进程路径、进程ID、文件创建日期以及启动时间等。

日志分析

相关推荐
科技小郑4 小时前
吱吱企业通讯软件以安全为基,搭建高效的通讯办公平台
大数据·运维·网络·安全·吱吱企业通讯
iphone1087 小时前
企业内部机密视频安全保护|如何防止企业内部机密视频泄露?
安全·音视频·视频加密·加密技术·视频安全·企业机密·机密视频
HenrySmale9 小时前
05 网络信息内容安全--对抗攻击技术
网络·安全
IAR Systems10 小时前
在IAR Embedded Workbench for Arm中实现Infineon TRAVEO™ T2G安全调试
开发语言·arm开发·安全·嵌入式软件开发·iar
原点安全10 小时前
某供应链金融公司多场景敏感数据安全保护实践
安全
麦聪聊数据10 小时前
能源行业数据库远程运维安全合规实践:Web化平台的落地经验
运维·数据库·sql·安全·数据服务
上海控安10 小时前
上海控安:汽车API安全-风险与防护策略解析
网络·安全·汽车
btyzadt13 小时前
Xray与XPOC工具对比分析
网络·安全·web安全
似水流年 光阴已逝15 小时前
腾讯云重保流程详解:从预案到复盘的全周期安全防护
安全·云计算·腾讯云
深盾科技18 小时前
Android Keystore签名文件详解与安全防护
android·安全·gitee