windows和linux应急响应

孤寂204

已于 2023-02-04 13:38:51 修改

阅读量548

点赞数

文章标签：服务器

于 2023-02-04 13:37:02 首次发布

本文链接：https://blog.csdn.net/weixin_62693307/article/details/128881085

版权

文章详细介绍了Windows和Linux系统在应急响应时应关注的日志查看（如系统、安全和设置日志），进程信息的检查，用户信息的审核，自启动项的管理和系统信息（包括版本和补丁）的确认。通过特定的日志事件ID和命令行工具，可以有效地排查和分析系统异常。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

应急响应

windows

对于windows的应急响应，我总结了无外乎这几点，查看日志信息、查看进程信息、查看用户信息、查看自启动项、查看系统信息（版本和补丁）、查看最近所使用的程序

我接下来会对以上进行逐个分析

查看日志信息

对于查看日志信息中，我个人推荐可以先看看下面这些事件ID，这些常见的事件ID可以更快的帮助你查看日志

系统system：

1074，查看计算机的开机、关机、重启的时间以及原因和注释。

6005，表示日志服务已启动，用来判断正常开机进入系统。

6006，表示日志服务已停止，用来判断系统关机。

6009，表示非正常关机，按ctrl、alt、delete键关机。

41，表示系统在未先正常关机的情况下重新启动。当出现意外断电关机、系统崩溃时，出现此事件ID。

4199，当发生TCP/IP地址冲突的时候，出现此事件ID，用来排查用户IP网络的问题。

35,36,37，记录时间客户端状态信息，35表示更改时间源，36表示时间同步失败，37表示时间同步正常

134，当出现时间同步源DNS解析失败时会出现此事件ID。

7045，服务创建成功

7030，服务创建失败

安全Security

4624，表示成功登陆的用户，用来筛选该系统的用户登陆成功情况。

4625，表示登陆失败的用户，用来判断RDP爆破的情况。

4672，表示授予了特殊权限

4720,4722,4723,4724,4725,4726,4738,4740，事件ID表示当用户帐号发生创建，删除，改变密码时的事件记录。

4727,4737,4739,4762，表示当用户组发生添加、删除时或组内添加成员时生成该事件。

设置Setup

1,2,3,4，用来查看windows系统更新的记录，事件ID前后顺序为“已挂起、已安装、错误失败、提示重启” 。事件ID3，更新错误或失败是重点查看对象

在看完这些事件ID后相信你能更好查看日志了，因为日志记录你在电脑上所做的一切。

查看进程信息

对于查看进程信息，不用我说你应该也深有体会。

当你的电脑无缘无故哦卡顿时，无非就时哪个程序占用的CPU过高了，而关于在cmd中如何查看进程的命令如下

端口的连接情况

netstat -ano

查找具体的进程

tasklist | find “PID”

一般只要记住以上两个命令即可

我接下来所说的是针对web服务器

web访问的端口一般都是80

查看web的端口

lsof -l tcp:80

以上图片我们可以看到

php进程占用了web服务，进程ID为35028

强制关闭某个进程

kill -9 35028 35028是进程ID

查看用户信息

对于查看用户信息，可以帮助我们查看到是否有人利用注册表中的账号进行恶意登录

查看注册表中的账号

net user

查看当前用户账号

whoami

或者

echo %username%

查看自启动项

查看自启动项可以更好的帮助我们排查问题，看是否有恶意程序的启动

taskmgr

或者

taskmgr/0/startup

查看系统信息版本及补丁

systeminfo

查看最近所使用的程序

recent

linux

对于linux的应急响应，我总结了无外乎这几点，查看日志信息、查看进程信息、查看用户信息、查看自启动项、查看系统信息（版本和补丁）

我接下来会对以上进行逐个分析

查看日志信息

日志默认存放位置：/var/log/

查看日志配置情况：mort /etc/rsyslog.conf

以下时日志文件及说明

/var/log/message 包括整体系统信息

/var/log/auth.log 含系统授权信息，包括用户登录和使用的权限机制等

/var/log/userlog 记录所有等级用户信息的日志

/var/log/cron 记录crontab命令是否被正确的执行

/var/log/vsftpd.log 记录Linux FTP日志

/var/log/lastlog 记录登录的用户，可以使用命令lastlog查看

/var/log/secure 记录大多数应用输入的账号与密码，登录成功与否

/var/log/wtmp 记录登录系统成功的账户信息，等同于命令last

/var/log/faillog 记录登录系统不成功的账号信息，一般会被黑客删除（为二进制文件不能直接查看）

查看进程信息

ps aux 报告当前系统进程状态

ps -elf 报告系统内所有的进程信息

top 以全屏交互式的界面显示进程排名

查看用户信息

cat /etc/passwd

文件信息的格式的读写如下

用户名：密码：用户ID：组ID：用户说明：家目录：登陆之后shell

注意：无密码只允许本机登录，远程不允许登陆

查看用户信息的影子文件

cat /etc/shadow

文件信息的格式的读写如下

用户名：加密密码：密码最后一次修改日期：两次密码的修改时间间隔：密码有效期：密码修改到期的警告天数：密码过期之后的宽限天数：账号失效时间：保留

who 查看当前登录用户（tty本地登陆 pts远程登陆）

w 查看系统信息，想知道某一时刻用户的行为

uptime 查看登陆多久、多少用户，负载

查看历史命令

histroy

查看linux系统自启动项

systemctl list-unit-files |grep enabled

查看系统版本信息

lsb_release -a