Windows应急响应流程

原创

无清风wqf 2023-12-13 17:51:39 博主文章分类：应急响应 ©著作权

文章标签 Windows Software 日志分析 文章分类 网络安全

©著作权归作者所有：来自51CTO博客作者无清风wqf的原创作品，请联系作者获取转载授权，否则将追究法律责任

文件分析

• 最近使用文件

– C:\Documents and Settings\Administrator\Recent

– C:\Documents and Settings\Default User\Recent

– %UserProfile%\Recent

• 系统日志分析

– 事件查看器 eventvwr.msc

用户分析

• 查看是否有新增用户

• 查看服务器是否有弱口令

• 查看管理员对应键值

• lusrmgr.msc 查看账户变化

• net user 列出当前登录账户

• wmic UserAccount get 列出当前系统所有账户

进程分析

• netstat -ano 查看是否打开了可疑端口

• tasklist 查看是否有可疑进程

• 分析开机自启程序

– HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

– HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

– HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

– HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

– HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

– HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

– HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

– HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices

– HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

– (ProfilePath)\Start Menu\Programs\Startup 启动项

– msconfig 启动选项卡

– gpedit.msc 组策略编辑器

• 查看计划或定时任务

– C:\Windows\System32\Tasks\

– C:\Windows\SysWOW64\Tasks\

– C:\Windows\tasks\

– schtasks

– taskschd.msc

– compmgmt.msc

• 查看启动服务

– services.msc

日志分析

• 事件查看

– eventvwr.msc

其他

• 查看系统环境变量

上一篇：linux应急响应流程

下一篇：溯源分析-溯源技术

提问和评论都可以，用心的回复会被更多人看到评论

发布评论

相关文章

官方博客	全部文章	热门标签	班级博客
了解我们	网站地图	意见反馈

鸿蒙开发者社区	51CTO学堂
51CTO	软考资讯