Windows应急响应

常见的应急响应事件分类：
web入侵：网页挂马、主页篡改、Webshell
系统入侵：病毒木马、勒索软件、远控后门
网络攻击：DDOS攻击、DNS劫持、ARP欺骗
1.1、系统账户相关
查看服务器是否有弱口令，远程管理端口是否对公网开放。
查看服务器是否有可疑账号，新增账号。
查看账号的方法：
1、net user （无法列出$用户）
2、lusrmgr.exe（无法找到注册表方式建立的用户）
3、查看注册表（最准确）HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users
4、使用工具，如D盾
查看登录日志：eventvwr.msc，然后使用 Log Parser 进行日志审计。
1.2、进程、端口相关
1、查开放的端口
netstat -ano 查看目前的网络连接，定位可疑的ESTABLISHED。
根据netstat 定位出的pid，再通过tasklist命令进行进程定位 tasklist | findstr “PID”。
2、查可疑的进程
wmic process list brief | more
D盾_web查杀工具，进程查看，关注没有签名信息的进程。
通过微软官方提供的 Process Explorer 等工具进行排查 。
进程和端口相结合，进行查杀。
1.3、检查启动项、计划任务、服务
1、启动项相关
开机启动文件夹：【开始】>【所有程序】>【启动】
对应的路径：C:\Users\xxxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
系统配置的启动项：msconfig
注册表的启动项：
HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
组策略：gpedit.msc 依次选择 【计算机配置】【Windows 设置】【脚本】【启动】
使用工具：Autoruns
2、计划任务
单击【开始】>【设置】>【控制面板】>【任务计划】，查看计划任务属性，便可以发现木马文件 的路径。
单击【开始】>【运行】；输入 cmd，然后输入at，检查计算机与网络上的其它计算机之间的会话或计划任务，如有，则确认是否为正常连接
3、服务自启动
单击【开始】>【运行】，输入services.msc，注意服务状态和启动类型，检查是否 有异常服务。
1.4、系统相关信息
1、查看版本和补丁情况
单击【开始】>【运行】，输入systeminfo，查看系统信息
2、查找可疑目录或文件
查看用户目录，新建账号会在这个目录生成一个用户目录，查看是否有新建用户目录。
Window 2003 C:\Documents and Settings Window 2008R2 C:\Users
单击【开始】>【运行】，输入%UserProfile%\Recent，分析最近打开分析可疑文件。
在服务器各个目录，可根据文件夹内文件列表时间进行排序，查找可疑文件。
1.5、自动化查杀
病毒查杀：下载安全软件，更新最新病毒库，进行全盘扫描。
webshell查杀：选择具体站点路径进行webshell查杀，建议使用两款webshell查杀工具同时查杀，可 相互补充规则库的不足。
1.6、日志分析
Windows 2000 / Server2003 / Windows XP 的日志目录：
%SystemRoot%\System32\Config*.evt
Windows Vista / 7 / 10 / Server2008 的日志目录：
%SystemRoot%\System32\winevt\Logs*.evtx
系统日志（System.evtx）：驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。
应用程序日志（Application.evtx）：记录程序运行方面的事件。
安全日志（Security.evtx）：登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。
安全日志也是调查取证中最常用到的日志。默认设置下，安全性日志是关闭的，管理员可以使用组策略来启动安全性日志，或者在注册表中设置审核策略，以便当安全性日志满后使系统停止响应
导出应用程序日志、安全日志、系统日志，利用Log Parser进行分析。