目的:
判断是否被成功入侵的安全事件
Windows常用的命令与分析工具
5个排查
系统排查:开始-运行-msconfig
Runas /user:addmin
文件排查:敏感的文件路径
%WINDIR%
%WINDIR%\system32\
%TEMP%
%LOCALAPPDATA%
%APPDATA%
查看个盘下的TEMP相关目录下查看有无异常文件:windows产生的零食文件
查看快捷方式:%UserProfile%\Recent
确认时间范围,根据时间排序,查找可疑文件。
进程排查:
系统信息排查:
任务计划程序库(at查看计划任务)
工具排查:
日志排查: eventvwr 查看安全日志
文件常用存放地址:C盘,桌面,TEMP
知道常用端口,服务,进程
Linux 常用命令与日志分析
/var/log/secure
安全事件的处置