windows日常巡检,应急响应等总结

时间:2022-02-18 05:03:00

a:事件查看器中,查看日志。应用程序,安全性,系统,,观察是否被入侵。

b:查看历史记录在c:\DOCUMENTS AND SETTINGS

c:修改后门账号密码。进去查看历史浏览网页等一些东西


2.进程,端口,网络连接,服务:

a:tasklisk 查看进程

b:netstatt -an 查看端口连接状态

c:使用一些安全工具,分析后台木马等

d:在服务中,查看是否插入了系统进程。。


4.cpu,内存,流量:

可能用服务器发动DDOS攻击,或者扫描其它服务器,导致cpu,内存达到峰值


5.用户:

a:在cmd中使用net user 

b:管理,本地用户组,用户。观察里面用户账号

c:在注册表:HKEY_LOCAL_MACHINE --> software  --> microsoft -->  windows nt --> 

currentversion --> profilelist中 快速检测以前存在过哪些账号

d:在注册表中查看安装软件记录HKEY_LOCAL_MACHINE --> software  --> microsoft -->                    windows nt --> currentversion -->uninstall中


6.以及其他一些细节

a:攻击者软件基本放在在c:\windows中,搜索*.exe来排查(显示系统属性文件,有

可能用attrib来更改属性)

b:禁用掉攻击者可能利用的系统工具。如net,attrib等

c:在注册表里查看启动项



二:应急响应报告:

框架大概:

目录

1概况

2工作描述

2.1网络和服务器情况

2.2被攻击情况

2.3入侵检查过程

2.3.1C盘存在黑客上传的文件

2.3.2对前段部分web网站http日志进行分析

2.3.3查看系统隐藏进程

2.3.4对系统进行sniffer抓包

2.3.5对服务器安全日志进行分析

3综合分析

4改进建议





三:简单预案方法:


1. 迅速隔离感染病毒的系统

2. 如果怀疑是病毒,则应该尽快将奥组委的网络和外网隔离。在断开与外网的连接之前,与LAN 、WAN的管理员一起确定最好的方案;

3. 尽快通知信息安全管理小组,如果10分钟内不能联系到信息安全管理小组,则联系备份人员;

4. 在一小时之内通知信息安全分管领导,如果必要,信息安全分管领导应该向上级汇报;

5. 2小时之内通知相关的主机管理员/网络管理员

6. 在等待主机管理员/网络管理员/过程中,尝试去追溯攻击来源,并确定究竟有多少系统受到影响。备份系统的日志文件和其他相关的文件;

7. 信息安全管理小组决定下一步应该做的工作,并分配做相应工作的人员;

8. 如果必要的话,信息安全管理小组应该向上级汇报,并在安全调查的基础上写出事件总结报告,送交相应的管理人员。