Windows应急响应 2022

已于 2023-04-02 22:49:21 修改
阅读量204 收藏
点赞数
分类专栏: 网络安全 文章标签: windows 服务器 网络
于 2022-12-27 15:03:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44484541/article/details/128456104
版权

Windows应急响应 2022
1.1.入侵排查思路
web入侵:对中间件日志进行分析
系统入侵:计划任务、系统爆破痕迹(系统日志),进程进行分析
网络攻击:流量分析
1.1.1.检查系统账户安全
查看服务器是否有弱口令,远程管理端口是否对公网开放
检查方法:查看网络连接对应的进程
Netstat -anb | findstr 进程
查看日志:Win+R 输入eventvwr.msc
1.1.2.查看服务器是否存在可疑账户、新增账户
检查方法一:win+R 输入lusrmgr.msc
检查方法二:win+R 输入net localgroup administrators
处理方法:禁用或删除对应的账户
1.1.3.查看服务器是否存在隐藏账户、克隆账户
检查方法一:查看注册表对应的键值
处理方法:删除注册表
检查方法二:win+R 输入compmgmt.msc -->本地用户和组–>用户(用户名以$结尾的为隐藏用户)
检查方法三:使用D盾web查杀工具进行检测,其中集成了对克隆账户、隐藏账户检测的功能
1.1.4.结合日志,查看管理员登录时间、用户名是否存在异常
检查方法:win+R 输入eventvwr.msc 打开事件查看器–>导出Windows安全日志–>利用log parser进行分析
1.1.5.检查异常端口、进程
检查端口连接情况,是否有远程连接、可疑连接
检查方法:netstat -ano查看目前的网络连接,定位可疑的ESTABLISHED
根据nestat定位出的pid,再通过tasklist的命令进行进程定位
Tasklist | findstr “PID”
1.1.6.进程
检查方法一:win+R,输入msinfo32,点击“软件环境”–>“正在运行任务”
检查方法二:使用微软官方提供工具Process Explorer排查
检查方法三:“任务管理器”–>“进程”
1.1.7.计划任务
检查方法一:控制面板–管理工具–任务计划程序\taskschd.msc
检查方法二:cmd输入schtasks
存放计划任务文件
C:\Windows\System32\Tasks
C:\Windows\SysWOW64\Tasks
C:\Windows\tasks
*.job(指文件)
1.1.8.查看可疑目录及文件
检查方法一:查看host
type %systemroot%\System32\drivers\etc\hosts
Window 2003 C:\Documents and Settings
Window 2008R2 C:\Users
检查方法二:win+R 输入%UserProfile%\Recent,分析最近打开分析可疑文件
1.1.9.中间件日志分析(分析是否上传webshell、sql注入等操作)
Tomcat:安装目录下logs文件夹localhost_access_log.日期.txt (一般针对这个文件进行分析)
这个是存放访问tomcat的请求的所有地址以及请求的路径、时间,请求协议以及返回码等信息(重要)
Apache:安装目录下logs文件夹access.log

不知名hack
关注
专栏目录
2022年全国职业技能大赛中职组“网络安全”赛项——应急响应(超详细解析)
Jay
12-20 936
3.黑客攻入本地服务器,在本地服务器建立了多个超级用户,请你删除除了Administrator用户以外的其他超级管理员用户,然后在命令行窗口输入net user,将Administrator右边第一个单词作为flag值提交。1.黑客通过网络攻入本地服务器,在Web服务器的主页上外挂了一个木马连接,请你找到此连接并删除该连接,将对应的标题名称作为flag值提交。2.黑客攻入本地的数据库服务器,并添加了除admin以外的具有一个管理员权限的超级用户,将此用户的密码作为flag值提交。
2022年全国职业院校技能大赛中职组网络安全竞赛——应急响应解析(超详细)
旺仔Sec&blog
08-03 1100
2022年全国职业院校技能大赛网络安全竞赛之应急响应
此计算机支持多个rdp侦听程序,系统堂解决:RDP端口不在Win10 64位系统中侦听
weixin_31794609的博客
07-14 2436
系统堂解决:RDP端口不在Win10 64位系统中侦听如果RDP端口未侦听,则在Windows 10 64位系统中使用“远程桌面连接”可能会遇到麻烦。这是解决问题的方法。通常,您可以使用Remote Desktop Connection将一个系统连接到另一个系统。如果您在连接时遇到问题,请参阅此修复程序中的建议。远程桌面协议(RDP)使用端口号3389作为其连接的默认端口。为了使RPD正常工作,此...
Windows远程桌面】RDP Wrapper 监听器状态为 Not listening [not supported] 的解决方法
NXY666
11-04 3万+
因原作久未更新,配置文件陈旧,通过更新配置文件即可解决。 该方法于Win10、Win11亲测可用。
Windows 10——远程桌面无法复制粘贴问题解决方案
无限迭代中......
08-30 1万+
问题描述 使用Windows 10系统远程桌面服务连接Windows Server 2012,无法通过复制粘贴进行文件交互。 解决方案 1.运行->mstsc->显示选项->本地资源TAB->本地设备和资源 勾选剪切板 ->详细信息... 勾选“驱动器” 2.异常中断了某个进行中的复制粘贴操作。 检查rdpclip.exe(RDP剪贴板监视程序)进程是否启用: 远程连接Windows Server服务器 任务管理器->查看进程->寻找r.
Windows系统日志常用事件ID一览表(佛系更新)
热门推荐
百里飞猴的博客
08-28 7万+
Windows系统日志常用事件ID一览表(佛系更新) 前言 网上搜索的大部分ID没有太大作用,以下主要是本人常用的一些事件ID,应急时候或许会起到作用,欢迎各位网友提供建议。 ----> 打开方式,按下快捷键"win+R",在弹出的运行对话框中输入 “eventvwr.msc”,打开自带的事件查看器 注意:当前环境为"window 10 1903" 系统system: 1074,查看计算机的开机、关机、重启的时间以及原因和注释。 6005,表示日志服务已启动,用来判断正常开机进入系统。 6006,
win7 任务计划 任务映像已损坏或篡改(异常来自HRESULT:0x80041321)
经验集锦
12-09 3万+
请这样操作: 1. 以管理员身份运行命令提示符并执行命令 chcp 437 schtasks /query /v | find /i "ERROR: Task cannot be loaded:" 2. 该命令将返回损坏的任务计划程序名称. 3. 请记录下损坏的计划任务名称.英文貌似是 cannot be loaded  ,记不清楚了。 4. 在c:\Windows\system32\
【实战】验证可执行文件可靠性| Windows 应急响应
jijisaq的博客
03-29 1298
相信部分朋友已经看过我们的 《Windows 应急响应手册》了,我们这边也得到部分朋友的正向反馈,包括工具、方法等。Windows 版的应急响应手册中常规安全检查部分第一版就包含了 30 多个检查项目,按照我们的风格,每个检查项基本都给出了 Windows 默认的情况(书中以为例),对于存在大量检查项的(例如大量的dll文件需要检查),基本也都给出了Powershell脚本。如果大家详细看了这些Powershell脚本或者看我们的描述可以发现,其实就是找到检查项,进而找到可执行文件(exedll。
应急响应(日志/流量)
nigo134的博客
03-25 4715
事件分类 有害程序事件 网络攻击事件 信息破坏事件 事件内容安全事件 设备设施故障事件 灾害性事件 其它事件 应急响应工作流程 准备阶段 应急团队建设 应急方案制定 等级保护测评 检测阶段 判断安全设备告警 判断事件类型 判断事件级别 确定应急方案 抑制阶段 阻断:封禁IP、断开网络连接.隔离失陷主机 排查:排查可疑进程、排查可疑服务、审计各类日志、排查可疑账户、排查可疑文件 根除阶段 修复:系统漏洞.网站漏洞 更新:安全策略、威胁情报 还原:操作系统.业务系统 恢复
2022年江西省中职组“网络空间安全”赛项模块B-应急响应
Aluxian_的博客
01-21 3569
2022年江西省网络安全中职组--应急响应解析
windows sever 2008R2服务器打开任务计划管理器提示错误
studyingjay的博客
09-08 2115
windows sever 2008R2服务器打开任务计划管理器就提示错误,根本不能新建任务,以前也没有手动创建过任务很奇怪。 找了很多文章都是处理有问题的任务,而我没有建过任务,死马当活马医试试相同的处理方式 解决办法: 以管理员身份运行命令提示符并执行命令 chcp 437 该命令将返回损坏的任务计划程序名称 schtasks /query /v | find /i “ERROR: Task cannot be loaded:” 找出n个文件太多了,这些任务不知道哪里来的 记录上图中返回的损坏任务计划
应急响应-Windows隐藏账户
weixin_45690589的博客
02-27 1753
检测是否存在新增可疑的账号,如管理员群组的(Administrator)是否新增账户,默认的情况下,管理员账户administrator对应的注册表为计算机。打开隐藏账户配置文件config.reg与admin.reg。将config.reg的F键替换为admin.reg的F键。将vin12$.reg与config.reg导入注册表。添加隐藏账户后,该隐藏账户可在一定条件下隐藏, 输入。的目录下可以查找到新建的隐藏用户vin2$隐藏后的账户添加完成后,在控制面板无法显示。通过注册表可以看到隐藏账户的信息。
红蓝对抗-蓝队知识点汇总
weixin_43155143的博客
02-08 1638
红蓝对抗-蓝队知识点汇总
windows计划任务 0xff_Windows服务器入侵检测排查方法
weixin_39884144的博客
11-08 1369
Windows服务器入侵检测排查一、文件排查1)开机启动有无异常文件【文件】→【运行】→【msconfig】2)各个盘下的temp(tmp)相关目录下查看有无异常文件:Windows产生的临时文件:3)Recnt是系统文件夹,里面存放着你最近使用的文档的快捷方式,查看用户recent相关文件,通过分析最近打开分析可疑文件:【开始】→【运行】→【%UserProfile%、Recent】4)根据文件...
应急响应基础(一)——Windows入侵排查
橘子女侠
09-29 2032
常见的应急响应事件分类: web入侵:网页挂马、主页篡改、webshell; 系统入侵:病毒木马、勒索软件、远控后门; 网络攻击:DDOS攻击、DNS劫持、ARP欺骗; 一、Windows入侵排查思路 (1)检查系统账号安全 1、检查服务器是否有弱口令,远程管理端口是否对公网开放等; 检查方法:根据实际情况咨询相关服务器管理员; 2、查看服务器是否存在可疑账号、新增账号; 检查...
windows系统入侵排查思路
剁椒鱼头没剁椒的博客
06-21 4949
windows系统服务器入侵排查的思路
【Winform使用DataGridView实现表格数据的添加,编辑、删除、分页功能】
weixin_43626218的博客
11-05 103
Winform使用DataGridView实现表格数据的添加,编辑、删除、分页功能。
数据结构题集-第二章-线性表-单链表的删除
最新发布
georangel
11-05 91
没想到单链表的删除也有很多情况需要考虑,以前一直以为链表很简单,几分钟就能完成与之有关的各种操作,不知为什么,遇到题集中的算法要求后需要注意这么多已知和未知的差错。
C#编程:VSTO在Excel工作表中输出List数据
fsyuheduo的博客
11-01 299
==标题==C#编程:VSTO在Excel工作表中输出List数据==正文==一、问题:我想把C#中的List<T>输出到Excel工作表中二、思路方法:(1)用程序创建一个List<T>(2)输出到当前工作表三、代码:Excel.Application xlsApp = Globals.ThisAddIn.Application; Excel.Workbook wbk =...
Windows应急响应手册:深入攻防策略解析
Windows应急响应手册》是一本专注于Windows操作系统的网络安全应急响应指南,特别关注于这个广泛使用的操作系统所面临的挑战。由于Windows作为闭源系统,其内部工作原理对研究人员而言较为复杂,特别是对于攻击者...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值