转载至奇安信攻防社区-Windows应急响应篇
Windows应急响应篇
本篇主要以windows下应急响应的基础技术手段进行介绍。
一、概述:
近年来,随着互联网的发展网络安全攻击事件也是大幅度增多,如何在第一时间发现攻击事件,并实施应急处置,能够有效的将损失降到最低。在实施应急响应的过程中,需要从多方面进行联动工作,具体的流程和依据可以参考《GB∕T 38645-2020 信息安全技术 网络安全事件应急演练指南》,本篇主要以windows下应急响应的基础技术手段进行介绍。
二、技术分析
1、准备工作
在正式实施应急响应之前,需要先进行以下工作,
第一、信息收集,先对安全事件进行详细的了解,包括系统、服务以及业务类型
第二、思路梳理,通过以上信息收集初步梳理自己的分析思路
第三、工具准备,提前准备好需要用到的工具脚本等资料
第四、数据备份,所有涉及到分析以及证据的材料都需要提前进行备份,这样也方便之后还有分析人员或者防止数据被篡改或者覆盖。
第五、时间校准,查看系统时间和北京时间是否同步准确,如果不准确那么系统日志等信息的事件可能会存在误差,所以必须提前校准时间。
2、账号分析
首先查看系统所有的账户,是否存在恶意新增账户,进行远程控制等问题,具体方式如下。
1)cmd命令行输入net user查看用户账户,该方法有一个弊端就是无法查看系统建立的隐藏账户;
2)计算机管理->系统工具->本地用户和组->用户,可以查看系统现有账户,其中账户后面带