Windows应急响应常识

Windows 应急响应

常见事件ID

  • 1102 清理审计日志
  • 4624 账号登陆成功
  • 4625 账号登陆失败
  • 4672 授予特殊权限
  • 4720 创建用户
  • 4726 删除用户
  • 4728 将成员添加到启用安全的全局组中
  • 4729 将成员从安全组移除
  • 4732 将成员添加到启用安全的本地组中
  • 4733 将成员从启用安全的本地组移除
  • 4756 将成员添加到启用安全的通用组中
  • 4757 将成员从启用安全的通用组中移除
  • 4719 系统审计策略修改

常见登陆类型

  • 2 交互式登陆(用户从控制台登陆)
  • 3 网络 (比如通过net use,访问共享网络、共享文件夹)
  • 4 批处理 (计划任务)
  • 5 服务启动 (服务启动时,win会先创建一个新的登陆会话)
  • 6 不支持
  • 7 解锁 (锁屏解锁)
  • 8 网络明文 (IIS服务器登陆验证)
  • 9 新凭证 (使用带/netonly 参数的runas命令允许程序时)
  • 10 远程交互 (终端服务、远程桌面、远程辅助)
  • 11 缓存域证书登陆

命令

netstat -ano | more

tasklist | findstr "xxx"

systeminfo

net user

net user admin

Reference

http://www.freebuf.com/vuls/175560.html

原文地址:https://www.cnblogs.com/0x4D75/p/9838098.html

时间: 2024-10-07 20:45:24

Windows应急响应常识的相关文章

Windows应急响应和系统加固(2)——Windows应急响应的命令使用和安全检查分析

Windows应急响应的命令使用和安全检查分析 1.获取IP地址: ·ipconfig /all,获取Windows主机IP地址信息: ·ipconfig /release,释放网络IP位置: ·ipconfig /flushdns,更新网络IP位置: ·ipconfig /renew,更新网络IP等消息获取DNS服务器的IP地址等. 2.获取端口信息: ·neystat -an,获取主机所有端口的开放情况和网络连接情况: ·-o,显示与每个连接相关的所属进程ID: ·netstat -ano

windows应急响应入侵排查思路

0x00 前言 ? 当企业发生黑客入侵.系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失. 常见的应急响应事件分类: web入侵:网页挂马.主页篡改.Webshell 系统入侵:病毒木马.勒索软件.远控后门 网络攻击:DDOS攻击.DNS劫持.ARP欺骗 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Window服务器入

3.Windows应急响应:蠕虫病毒

0x00 前言 蠕虫病毒是一种十分古老的计算机病毒,它是一种自包含的程序(或是一套程序),通常通过网络途径传播, 每入侵到一台新的计算机,它就在这台计算机上复制自己,并自动执行它自身的程序.常见的蠕虫病毒:熊猫烧香 病毒 .冲击波/震荡波病毒.conficker病毒等. 0x01 应急场景 某天早上,管理员在出口防火墙发现内网服务器不断向境外IP发起主动连接,内网环境,无法连通外网,无图脑补. 0x02 事件分析 在出口防火墙看到的服务器内网IP,首先将中病毒的主机从内网断开,然后登录该服务器,

Windows应急响应和系统加固(6)——Windows历年高危漏洞介绍和分析

Windows历年高危漏洞介绍和分析 一.漏洞介绍: 1.漏洞: <1>.漏洞:是影响网络安全的重要因素: <2>.漏洞利用:成为恶意攻击的最常用手段: <3>.漏洞攻击:产业化.低成本化.手段多样化.低门槛趋势: <4>.信息化时代:无论个人/企业,都面临严峻的漏洞威胁: <5>.Windows.Office.IE.Edge.Flash等高危漏洞频繁曝光. 2.Windows漏洞: <1>.MS08-067 RCE漏洞: <2

【应急响应】windows入侵排查思路

海峡信息白帽子id:Bypass 当企业发生黑客入侵.系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失. 0×00 前言 常见的应急响应事件分类: web入侵:网页挂马.主页篡改.Webshell 系统入侵:病毒木马.勒索软件.远控后门 网络攻击:DDOS攻击.DNS劫持.ARP欺骗 海峡信息白帽子id:Bypass 针对常见的攻击事件,结合工

渗透测试02------windows日常巡检,应急响应等总结

一:日常巡检: 1.日志: a:事件查看器中,查看日志.应用程序,安全性,系统,观察是否被入侵. b:查看历史记录在c:\DOCUMENTS AND SETTINGS c:修改后门账号密码.进去查看历史浏览网页等一些东西 2.进程,端口,网络连接,服务: a:tasklisk 查看进程 b:netstatt -an 查看端口连接状态 c:使用一些安全工具,分析后台木马等 d:在服务中,查看是否插入了系统进程.. 4.cpu,内存,流量: 可能用服务器发动DDOS攻击,或者扫描其它服务器,导致cp

Linux应急响应姿势浅谈

一.前记 无论是甲方还是乙方的同学,应急响应可能都是家常便饭,你可能经常收到如下反馈: 运维同事 --> 服务器上存在可疑进程,系统资源占用高: 网络同事 --> 监控发现某台服务器对外大量发包: .... 不要着急,喝一杯82年的美年达压压惊,希望本文可以对你有所帮助. 二.排查流程 0x01 Web服务 一般如果网络边界做好控制,通常对外开放的仅是Web服务,那么需要先找到Webshell,可以通过如下途径: 1)检查最近创建的php.jsp文件和上传目录 例如要查找24小时内被修改的JS

Linux应急响应入侵排查思路

0x00 前言 ? 当企业发生黑客入侵.系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失. 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Linux服务器入侵排查的思路. 0x01 入侵排查思路 一.账号安全 基本使用: 1.用户信息文件/etc/passwdroot:x:0:0:root:/root:/bin/bash

Window应急响应(五):ARP病毒

0x00 前言 ARP病毒并不是某一种病毒的名称,而是对利用arp协议的漏洞进行传播的一类病毒的总称,目前在局域网中较为常见.发作的时候会向全网发送伪造的ARP数据包,严重干扰全网的正常运行,其危害甚至比一些蠕虫病毒还要严重得多. 0x01 应急场景 某天早上,小伙伴给我发了一个微信,说192.168.64.76 CPU现在负载很高,在日志分析平台查看了一下这台服务器的相关日志,流量在某个时间点暴涨,发现大量137端口的UDP攻击. 0x02 分析过程 登录服务器,首先查看137端口对应的进程,