应急响应入侵检测与日志分析

应急响应入侵检测与日志分析

入侵检测

1)首先使用杀毒软件进行全盘杀毒
2)端口及进程检查
左边一列为windows,右边一列为linux
3)系统信息检查
在这里插入图片描述

4)文件目录排查
1)临时目录(temp/tmp)
C:\Users[用户名]\Local Settings\Temp
C:\Documents and Settings[用户名]\Local Settings\Temp
C:\Users[用户名]\桌面
C:\Documents and Settings[用户名]\桌面
C:\Users[用户名]\Local Settings\Temporary Internet Files
C:\Documents and Settings[用户名]\Local Settings\Temporary Internet Files
2)最近打开的文件
C:\Users[用户名]\Recent
C:\Documents and Settings[用户名]\Recent
3)排查文件修改时间
4) System32目录与hosts文件
C:\Windows\System32 //常见病毒释放目录
C:\Windows\System32\drivers\hosts //本地DNS查询的域名设置,可强制将某个域名对应到某个IP上
5)工具分析
使用应急响应工具对事件进行分析
1)autoruns 自启动项分析工具,Autoruns可以查看加载在启动、activex、explorer、logon、services等中的木马或病毒程序。
(1)everything栏,列出所有自启动项,可关注其description和publisher栏,是否信息完整,若都为空可通过search online 查找继而验证是否为恶意自启动项。
(2)排查开机启动项–>Logon
(3)服务启动项–>service
(4)定时或计划任务
2)Process hacker 进程分析工具 可双击进程查看进程中被注入的恶意DLL文件

日志分析

Windows :
查看日志方法:eventvwr.msc 或 管理工具–>计算机环境–>事件查看器
安全日志–>筛选事件ID:


每个登陆成功的事件都会标记一个登录类型,不同登录类型代表不同的方式,根据登录类型判断事发原因
在这里插入图片描述
日志分析工具:logparser
下载工具并安装
在这里插入图片描述
将系统安全日志导出,并用logparser进行分析,使用命令:
LogParser.exe -i:EVT -o:DATAGRID “SELECT * FROM G:\日志\windows安全日志\123.evtx”
在这里插入图片描述
基本格式:LogParser –i:输入文件的格式 –o:输出格式 “SQL语句”

©️2020 CSDN 皮肤主题: 游动-白 设计师:上身试试 返回首页