admin管理员组文章数量:1537078
**
1.windows应急响应事件分类
**
Windows 系统的应急事件,按照处理的方式,可分为下面几种类别:
病毒、木马、蠕虫事件
Web 服务器入侵事件或第三方服务入侵事件
系统入侵事件,如利用 Windows 的漏洞攻击入侵系统、利用弱口令入侵、利用其他服务的漏洞入侵,跟 Web 入侵有所区别,Web 入侵需要对 Web 日志进行分析,系统入侵只能查看 Windows 的事件日志。
网络攻击事件(DDoS、ARP、DNS 劫持等)
**
2.排查思路
**
了解情况:
什么时间发现主机异常?
异常现象是什么?
受害人做了什么处理?
为什么会产生异常
反推入侵思路
主机上可能留下的痕迹
确定入侵过程
3.日志
windows自带事件查看器管理日志,使用命令eventvwr.msc打开
w10 搜索事件查看器 (管理工具下)
日志位置
Windows 2000/Server2003/Windows XP
%SystemRoot%\System32\Config*.evt
Windows Vista/7/10/Server2008
%SystemRoot%\System32\winevt\Logs*.evtx
日志审核策略,命令:auditpol / get / category :*
常用事件 ID 含义
登录类型 ID
成功/失败登录事件提供的有用信息之一是用户/进程尝试登录(登录类型),但 Windows 将此信息显示为数字,下面是数字和对应的说明:
账户类型
用户账户
计算机账户:此帐户类型表示每个主机。 此帐户类型的名称以字符“$”结尾。 例如,“DESKTOP-SHCTJ7L $” 是计算机帐户的名称。
服务账户:每个服务帐户都创建为特定服务的所有者。 例如,IUSR是IIS的所有者,而krbtgt是作为密钥分发中心一部分的服务的所有者。
应用程序和服务日志
应用程序和服务日志是一种新类别的事件日志。这些日志存储来自单个应用程序或组件的事件,而非可能影响整个系统的事件。
查看 PowerShell 的日志
Microsoft->Windows->PowerShell->OPtions
**
4.远程登录
**
攻击者可能造成的远程登录事件
RDP
攻击者使用 RDP 远程登录受害者计算机,源主机和目的主机都会生成相应事件。
重要的事件 ID(安全日志,Security.evtx)
4624:账户成功登录
4648:使用明文凭证尝试登录
4778:重新连接到一台 Windows 主机的会话
4779:断开到一台 Windows 主机的会话
远程连接日志(应用程序和服务日志->Microsoft->Windows->-TerminalServices->RemoteConnectionManager->Operational),重要事件 ID 和含义:
1149:用户认证成功
21:远程桌面服务:会话登录成功
24:远程桌面服务:会话已断开连接
25:远程桌面服务:会话重新连接成功
远程连接日志关注 RemoteInteractive(10) 和CachedRemoteInteractive(12)表明使用了 RDP ,因为这些登录类型专用于RDP使用。
计划任务和 AT 关注的事件 ID
4624:账户成功登录
计划任务事件 Microsoft-Windows-TaskScheduler/Operational.evtx,计划任务 ID 含义ÿ
版权声明:本文标题:应急响应-----Windows系统排查(学习笔记) 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/xitong/1726947375a1091247.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论