windows应急响应

其他 2020-04-24 20:22:48 阅读次数: 0

资料:
https://www.cnblogs.com/bmjoker/p/9483729.html
https://www.freebuf.com/vuls/175560.html
资料
辅助工具
下面对资料进行整理补充
常见的应急响应事件分类:
web入侵:网页挂马主页篡改、Webshell
系统入侵:病毒木马、勒索软件、远控后门
网络攻击:DDOS攻击、DNS劫持DNS污染、ARP欺骗

lusrmgr.msc :打开本地用户的组
eventvwr.msc :打开“事件查看器”。

msinfo32 :打开 “系统信息”
services.msc :打开服务
regedit : 打开注册表
gpedit.msc :组策略编辑器
systeminfo :系统信息及补丁情况
taskschd.msc :打开计划任务

1.1 系统账户相关

注意事项:弱口令、22/3389 等端口是否对外
查看账号的方法:

  1. net user(无法列出$用户)
  2. lusrmgr.exe(无法找到注册表方式建立的用户)
  3. 查看注册表(最准)HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\
  4. D 盾有查看账户的功能

1.2 进程端口

查看开放的端口:netstat -ano
重点看状态是 ESTABLISHED 的端口:netstat -ano | findstr ‘estab’
查看路由:netstat -rn
查看系统信息:msinfo32,依次点击 软件环境→正在运行任务,可以看到当前的进程

netstat -ano :查看网络连接
tasklist | findstr “PID” :进程定位

wnic可以得到进程的可执行文件位置等信息:

wmic process get caption,commandline /value

具体某个进程可执行文件位置

wmic process where caption=”进程名” get caption,commandline /value

强制杀死pid=445的进程以及子进程taskkill /f /t /pid 445

可疑进程:

没有描述信息的进程
进程的属主
进程的路径是否合法
CPU或内存资源占用长时间过高的进程

1.3 启动项、计划任务、服务

1、任务管理器 > 启动

注册表的启动项:

HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

2、cmd 输入:taskschd.msc 打开计划任务 注意查看状态和触发器
或者 控制面板>管理工具>计划任务程序

3、services.msc 打开服务
注意服务状态和启动类型,检查是否有异常服务。

log parser 分析windows系统日志:

将LogParser.exe 放在 C:\windows\system32 文件夹下
在cmd执行命令:

LogParser.exe -i:EVT "SELECT TimeGenerated,EXTRACT_TOKEN(Strings,0,'|') AS USERNAME,EXTRACT_TOKEN(Strings,2,'|') AS SERVICE\_NAME,EXTRACT_TOKEN(Strings,5,'|') AS Client_IP FROM '导出的日志文件路径' WHERE EventID=4798"

输出:

C:\Users\dapeng\Desktop>LogParser.exe -i:EVT "SELECT TimeGenerated,EXTRACT_TOKEN(Strings,0,'|') AS USERNAME,EXTRACT_TOKEN(Strings,2,'|') AS SERVICE\_NAME,EXTRACT_TOKEN(Strings,5,'|') AS Client_IP FROM '12212.evtx' WHERE EventID=4798"
TimeGenerated       USERNAME      SERVICE\_NAME                                  Client_IP
------------------- ------------- ---------------------------------------------- ---------
2020-03-04 14:50:08 Administrator S-1-5-21-3440793402-2065120590-3265978168-500  WORKGROUP
2020-03-04 14:50:08 dapeng        S-1-5-21-3440793402-2065120590-3265978168-1001 WORKGROUP
2020-03-04 14:50:08 Administrator S-1-5-21-3440793402-2065120590-3265978168-500  WORKGROUP
2020-03-04 14:50:08 dapeng        S-1-5-21-3440793402-2065120590-3265978168-1001 WORKGROUP
2020-03-04 14:50:11 Administrator S-1-5-21-3440793402-2065120590-3265978168-500  WORKGROUP
2020-03-04 14:50:11 dapeng        S-1-5-21-3440793402-2065120590-3265978168-1001 WORKGROUP
2020-03-04 14:50:11 Administrator S-1-5-21-3440793402-2065120590-3265978168-500  WORKGROUP
2020-03-04 14:50:11 dapeng        S-1-5-21-3440793402-2065120590-3265978168-1001 WORKGROUP
2020-03-04 14:50:11 Administrator S-1-5-21-3440793402-2065120590-3265978168-500  WORKGROUP
2020-03-04 14:50:11 dapeng        S-1-5-21-3440793402-2065120590-3265978168-1001 WORKGROUP
Press a key...

登录成功的所有事件
LogParser.exe -i:EVT –o:DATAGRID  "SELECT *  FROM c:\Security.evtx where EventID=4624"
 
指定登录时间范围的事件:
LogParser.exe -i:EVT –o:DATAGRID  "SELECT *  FROM c:\Security.evtx where TimeGenerated>'2018-06-19 23:32:11' and TimeGenerated<'2018-06-20 23:34:00' and EventID=4624"
 
提取登录成功的用户名和IP:
LogParser.exe -i:EVT  –o:DATAGRID  "SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as Username,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM c:\Security.evtx where EventID=4624"
 
登录失败的所有事件:
LogParser.exe -i:EVT –o:DATAGRID  "SELECT *  FROM c:\Security.evtx where EventID=4625"
 
提取登录失败用户名进行聚合统计:
LogParser.exe  -i:EVT "SELECT  EXTRACT_TOKEN(Message,13,' ')  as EventType,EXTRACT_TOKEN(Message,19,' ') as user,count(EXTRACT_TOKEN(Message,19,' ')) as Times,EXTRACT_TOKEN(Message,39,' ') as Loginip FROM c:\Security.evtx where EventID=4625 GROUP BY Message"
 
LogParser.exe -i:EVT –o:DATAGRID  "SELECT TimeGenerated,EventID,Message FROM c:\System.evtx where EventID=6005 or EventID=6006"

常见事件ID

ID 事件
1102 清理审计日志
4624 账号登陆成功
4625 账号登陆失败
4672 授予特殊权限
4720 创建用户
4726 删除用户
4728 将成员添加到启用安全的全局组中
4729 将成员从安全组移除
4732 将成员添加到启用安全的本地组中
4733 将成员从启用安全的本地组移除
4756 将成员添加到启用安全的通用组中
4757 将成员从启用安全的通用组中移除
4719 系统审计策略修改

常见登陆类型:

类型
2 交互式登陆 (用户从控制台登陆)
3 网络 (比如通过net use,访问共享网络、共享文件夹)
4 批处理 (计划任务)
5 服务启动 (服务启动时,win会先创建一个新的登陆会话)
6 不支持
7 解锁 (锁屏解锁)
8 网络明文 (IIS服务器登陆验证)
9 新凭证 (使用带/netonly 参数的runas命令允许程序时)
10 远程交互 (终端服务、远程桌面、远程辅助)
11 缓存域证书登陆
心如熊猫
发布了53 篇原创文章 · 获赞 3 · 访问量 1584
私信 关注

猜你喜欢

转载自blog.csdn.net/weixin_45427650/article/details/104927652
今日推荐
面壁智能发布 Eurux-8x22B 开源大模型 —— 堪称「理科状元」
开源日报 | 谷歌扶持鸿蒙上位;开源Rabbit R1;Docker加持的安卓手机;微软的焦虑和野心;海尔电器把开放平台关了
中国码农的“35岁魔咒”
蘭雅 CorelDRAW 插件 2024.5.1 国际劳动节版,免费下载
Arc Browser for Windows 1.0 正式 GA
90后程序员开发视频搬运软件、不到一年获利超 700 万,结局很刑!
周排行
OOP第二次作业
java web 乱码问题
android 禁止scrollview 因控件变化自动滚动到底的方法
mysql服务解压版的安装(5.7)
centos7 nginx+tomcat配置https 安装免费SSL Let’s Encrypt
使用Mosquitto遗嘱机制实现感知客户端上下线功能的方法
面向对象之------多态与多态性
开发Teams Tabs应用程序
C# 希尔排序
第2章 Jupyter Notebooks
每日归档
更多
2024-05-06(40)
2024-05-05(0)
2024-05-04(7)
2024-05-03(19)
2024-05-02(0)
2024-05-01(4)
2024-04-30(1)
2024-04-29(40)
2024-04-28(0)
2024-04-27(56)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022