2. 程式人生 > >Windows應急響應常識

Windows應急響應常識

阿新 發佈:2018-10-23
net use nas klist 使用 訪問 審計 use ref 緩存

Windows 應急響應

常見事件ID

  • 1102 清理審計日誌
  • 4624 賬號登陸成功
  • 4625 賬號登陸失敗
  • 4672 授予特殊權限
  • 4720 創建用戶
  • 4726 刪除用戶
  • 4728 將成員添加到啟用安全的全局組中
  • 4729 將成員從安全組移除
  • 4732 將成員添加到啟用安全的本地組中
  • 4733 將成員從啟用安全的本地組移除
  • 4756 將成員添加到啟用安全的通用組中
  • 4757 將成員從啟用安全的通用組中移除
  • 4719 系統審計策略修改

常見登陸類型

  • 2 交互式登陸(用戶從控制臺登陸)
  • 3 網絡 (比如通過net use,訪問共享網絡、共享文件夾)
  • 4 批處理 (計劃任務)
  • 5 服務啟動 (服務啟動時,win會先創建一個新的登陸會話)
  • 6 不支持
  • 7 解鎖 (鎖屏解鎖)
  • 8 網絡明文 (IIS服務器登陸驗證)
  • 9 新憑證 (使用帶/netonly 參數的runas命令允許程序時)
  • 10 遠程交互 (終端服務、遠程桌面、遠程輔助)
  • 11 緩存域證書登陸

命令

netstat -ano | more

tasklist | findstr "xxx"

systeminfo

net user

net user admin

Reference

http://www.freebuf.com/vuls/175560.html

Windows應急響應常識

相關推薦

Windows應急響應常識

net use nas klist 使用 訪問 審計 use ref 緩存 Windows 應急響應 常見事件ID 1102 清理審計日誌 4624 賬號登陸成功 4625 賬號登陸失敗 4672 授予特殊權限 4720 創建用戶 4726 刪除用戶 4728 將成員添加

3.Windows應急響應:蠕蟲病毒

本地 tof 斷開 服務 成功 span 病毒掃描 dll 連通 0x00 前言 蠕蟲病毒是一種十分古老的計算機病毒,它是一種自包含的程序(或是一套程序),通常通過網絡途徑傳播, 每入侵到一臺新的計算機,它就在這臺計算機上復制自己,並自動執行它自身的程序。常

windows應急響應入侵排查思路

tab clas 公眾 360殺毒 data- 觀察 src 利用 settings 0x00 前言 ? 當企業發生黑客入侵、系統崩潰或其它影響業務正常運行的安全事件時,急需第一時間進行處理,使企業的網絡信息系統在最短時間內恢復正常工作,進一步查找入侵來源,還原入侵事故過

windows應急響應(一)

常見的入侵時間的排查思路如下: 攻擊型別定位->時間範圍->檔案分析->程序分析->系統分析->日誌分析->關聯分析->邏輯推理->事件總結 參考文章:http://www.freebuf.com/column/178677.html

應急響應Windows應急響應入門手冊

0x01 應急響應概述   首先我們來了解一下兩個概念:應急響應和安全建設,這兩者的區別就是應急響應是被動響應、安全建設是主動防禦。  所謂有因才有果,既然是被動的,那麼我們在應急響應的時候就得先了解本次安全事件的起因,常見的有: 安全裝置告警、資料被勒索加密、資料洩

滲透測試02------windows日常巡檢,應急響應等總結

windows 日常巡檢 應急響應等 一:日常巡檢:1.日誌: a:事件查看器中,查看日誌。應用程序,安全性,系統,觀察是否被入侵。 b:查看歷史記錄在c:\DOCUMENTS AND SETTINGS c:修改後門賬號密碼。進去查看歷史瀏覽網頁等一

應急響應Windows 安全部署

sched uno exec 全部 鍵值 task 管理工具 ipconfig 賬戶管理 一、補丁管理 運行cmd,輸入systeminfo查看目前補丁信息 二、賬戶管理 gpedit.msc —>Windows設置—>安全設置—>本地設置—>賬

應急響應windows入侵排查思路

海峽資訊白帽子id:Bypass 當企業發生黑客入侵、系統崩潰或其它影響業務正常執行的安全事件時,急需第一時間進行處理,使企業的網路資訊系統在最短時間內恢復正常工作,進一步查詢入侵來源,還原入侵事故過程,同時給出解決方案與防範措施,為企業挽回或減少經濟損失 0×00 前

攻防對抗中常用的windows命令(滲透測試和應急響應

一、滲透測試 1、資訊收集類 #檢視系統資訊 >systeminfo #檢視使用者資訊 >net user >net user xxx #檢視網路資訊 >ipconfig /all >route print >netstat -abon >

應急響應方案

3.1.1 war clas extract eva 產生 2008 r2 init xargs 行文目錄如下: 1. 事件分類 常見的安全事件: Web入侵:掛馬、篡改、Webshell 系統入侵:系統異常、RDP爆破、SSH爆破、主機漏洞 病毒木馬:遠控、後

Linux系統應急響應

還原 shadow class ger /var/ cron lastlog 所在 臨時 零、緒論事件應急是指在系統出現問題的第一時間進行錯誤排查、入侵過程還原取證,入侵源追蹤等緊急處理。知識點1、常見的分析入手點(1)文件分析(2)進程分析(3)網絡分析(4)命令分析(5

應急響應--記錄一次漏洞緊急處理中意外發現的挖礦木馬(Shiro反序列化漏洞和ddg挖礦木馬)

var vpc hist crontab 使用 8.4 wget 序列化 coo 背景 某公司線上服務器意外發現一個Apache Shiro 反序列化漏洞,可以直接GetShell。出於做安全的謹慎,馬上出現場應急,確認漏洞。該漏洞存在在cookie字段中的remembe

記一次應急響應2

無法 進入 nbsp 帶寬 執行文件 發送 病毒 初步 -- 事件描述: 本次安全事件,接報客戶內部一臺服務器,懷疑感染木馬病毒,一旦木馬發作,會導致服務器內存、CUP等資源耗盡,內部局域網帶寬被大量占用等情況。 根據經驗初步判斷為Ddos木馬之類的。 木馬特征: (1)系

Window應急響應(四):挖礦病毒

war 運行 focus 成功 關於 .exe 防範 pla min 0x00 前言 ? 隨著虛擬貨幣的瘋狂炒作,挖礦病毒已經成為不法分子利用最為頻繁的攻擊方式之一。病毒傳播者可以利用個人電腦或服務器進行挖礦,具體現象為電腦CPU占用率高,C盤可使用空間驟降,電腦溫度升高

Linux應急響應(四):蓋茨木馬

發現 roo netstat pac 行為 sta 過程 and style 0x00 前言 ? Linux蓋茨木馬是一類有著豐富歷史,隱藏手法巧妙,網絡攻擊行為顯著的DDoS木馬,主要惡意特點是具備了後門程序,DDoS攻擊的能力,並且會替換常用的系統文件進行偽裝。木馬得

Linux應急響應(三):挖礦病毒

命令 cront 展現 red dir resp ade 2-2 -h 0x00 前言 ? 隨著虛擬貨幣的瘋狂炒作,利用挖礦腳本來實現流量變現,使得挖礦病毒成為不法分子利用最為頻繁的攻擊方式。新的挖礦攻擊展現出了類似蠕蟲的行為,並結合了高級攻擊技術,以增加對目標服務器感染

Linux應急響應入侵排查思路

upd ron pub 進程 二進制 per rontab 有效 delet 0x00 前言 ? 當企業發生黑客入侵、系統崩潰或其它影響業務正常運行的安全事件時,急需第一時間進行處理,使企業的網絡信息系統在最短時間內恢復正常工作,進一步查找入侵來源,還原入侵事故過程,同時

windows 應急流程及實戰演練

對於windows方面的,目前我涉及的比較少,近期打算主攻程式碼審計吧。 php、java的框架各種的提上日程,感覺初步可以了之後再轉 windows 登錄檔 日誌 ps 等 逐步瞭解 域滲透。 微信 竟然不允許 圖片引用,原連結在此,方便日後檢視 ~   原 URL ht

應急響應-記一次“完(sang)美(xin)無(bing)缺(kuang)”的SSH口令爆破

伺服器日常運維過程中發現ssh的22埠被惡意IP連線         另外還有幾個IP為來得及截圖116.31.116.15、116.31.116.39     進一步

應急響應】主機應急響應與電子取證

0×0 背景 隨著主機安全的問題日漸突顯,挖礦勒索後門等病毒隱蔽手法越來越多種多樣,僅僅依靠傳統的安全工具不能完全查殺出相關惡意程式。安全事件具有突發性,複雜性與專業性,基於windows的一些執行機制人工排查安全事件需要從多個方面去檢查與清除,拋磚引玉提出以下思路供參考。