Windows应急响应从网络、进程、用户、启动项、计划任务、日志六个方面入手,分析攻击行为,还原攻击路径,从而针对性防御。
Windows应急响应
- 1、网络行为
- 2、进程服务
- 3、用户信息
-
- 3.1、普通后门用户
- 3.2、管理员用户
- 3.3、隐藏用户
- 3.4、克隆账户
- 4、启动项
- 5、计划任务
- 6、日志分析
-
- 6.1、Windows系统日志
- 6.2、Web日志
- 7、文件痕迹
- 8、排查工具
事件通常是从流量设备的告警中发现的,告警中会显示攻击IP、受害IP以及攻击方式。用户根据IP找到受害主机后,我们开始上机排查。
1、网络行为
如果知道外联地址等信息,就直接过滤 netstat -ano | findstr "外联IP"。
如果不知道,就逐一排查。
netstat -ano | findstr "ESTABLISHED"检查网络连接。外部IP放到TI、微步等平台检查是否恶意,恶意就检查进程;内部地址直接检查进程是否恶意。netstat -ano | findstr "LIST
发布评论