Windows应急响应常识

时间:2023-12-20 08:33:26

Windows 应急响应

Windows应急响应常识

常见事件ID

  • 1102 清理审计日志
  • 4624 账号登陆成功
  • 4625 账号登陆失败
  • 4672 授予特殊权限
  • 4720 创建用户
  • 4726 删除用户
  • 4728 将成员添加到启用安全的全局组中
  • 4729 将成员从安全组移除
  • 4732 将成员添加到启用安全的本地组中
  • 4733 将成员从启用安全的本地组移除
  • 4756 将成员添加到启用安全的通用组中
  • 4757 将成员从启用安全的通用组中移除
  • 4719 系统审计策略修改

常见登陆类型

  • 2 交互式登陆(用户从控制台登陆)
  • 3 网络 (比如通过net use,访问共享网络、共享文件夹)
  • 4 批处理 (计划任务)
  • 5 服务启动 (服务启动时,win会先创建一个新的登陆会话)
  • 6 不支持
  • 7 解锁 (锁屏解锁)
  • 8 网络明文 (IIS服务器登陆验证)
  • 9 新凭证 (使用带/netonly 参数的runas命令允许程序时)
  • 10 远程交互 (终端服务、远程桌面、远程辅助)
  • 11 缓存域证书登陆

命令

netstat -ano | more

tasklist | findstr "xxx"

systeminfo

net user

net user admin

Reference

http://www.freebuf.com/vuls/175560.html