应急响应-windows篇

常见的应急响应事件分为

web入侵:网页挂马、主页篡改、websehll

系统入侵:病毒木马、勒索软件、远程控制后门

网络入侵:DDOS攻击、DNS劫持、ARP欺骗

入侵排查思路

检查系统账号安全

1、检查服务器是否存在弱口令,远程端口端口是否对公王开放

2、查看服务器是否存在可疑账号、新增账号

net user test passwd /add //添加一个隐藏的用户,在用户名后面加就是隐藏用户

net localgroud adminstrators test /add //讲test这个用户分配到管理组

因为我的电脑没装windows的虚拟机就不演示了

然后如果要进行克隆就需来到

计算机\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users

这个目录下

讲root的uid给test然后将上面000开头的删掉换上替换的这样test就有的root权限。

3、查看服务器是否存在隐藏账号、克隆账号。

4、结合日志,查看管理员登录时间、用户名是否存在异常。

2、进程

  • 检查方法:

    a、开始 -- 运行 -- 输入 msinfo32 命令,依次点击 "软件环境 -- 正在运行任务" 就可以查看到进程的详细信息,比如进程路径、进程ID、文件创建日期以及启动时间等。

日志分析

相关推荐
tntxia1 天前
网络安全漏洞修复(一)
安全
泯泷3 天前
第 2 篇:设计第一套字节码:Opcode、Instruction 与 Constant Pool
前端·javascript·安全
泯泷3 天前
第 1 篇:从 1 + 2 开始:亲手写出第一台 JSVM
前端·javascript·安全
Flynt7 天前
npm v12 来了:allowScripts 默认关闭,我的项目差点跑不起来
安全·npm·node.js
冬奇Lab11 天前
Skill 系列(02):Skill 安全风险——三类攻击面的实战测试
人工智能·安全·开源
Aphasia31115 天前
VPN 与内网穿透
安全
Mr_愚人派16 天前
当"Claude"不再是 Claude:一次第三方 API 代理引发的 AI 身份伪造排查实录
人工智能·安全
DaLi Yao17 天前
【无标题】
人工智能·安全
Alsn8617 天前
等待学习-学习目录:Docker 容器安全攻防
学习·安全·docker
网络研究院17 天前
2026年网络安全
网络·安全·法律·法规·趋势·发展