windows系统应急

Windows系统的应急响应主要关注在发生安全事件或攻击后，如何迅速采取措施恢复系统的正常运行并确保数据的安全性。应急响应的目标是减少系统受到攻击的损害、恢复操作以及防止类似事件的再次发生。
应急响应分类

应用层：数据篡改、挂马、webshell
主机层：挖矿、勒索、对外DDOS
网络层：DDOS、CC、劫持
数据层：数据库敏感信息泄露、源码泄露
目的

应急响应的目标主要是为了阻断黑客攻击，对整个安全事件发生的过程进行还原，找到问题发生的根源，并采取对应的补救措施，避免类似的事件再次发生

• 判断这次应急是否是被成功入侵的安全事件
  
• 阻断黑客攻击
  
• 找出攻击者第一入口点，提取恶意样本
  
• 帮助客户梳理攻击者的攻击路线，提供漏洞修补方案
  

流程

• 事件判断：判断是否是安全事件，何种安全事件，勒索、挖矿、DDOS等
  
• 临时处置：给出客户临时处置建议，断网隔离，保护现场环境
  
• 信息收集分析：收集客户信息和中毒主机信息，包括样本、日志分析、进程分析、启动项分析、样本分析
  
• 清理处置：直接杀掉进程，删除文件，打补丁或者修复文件
  
• 产出报告：整理并输出完整的安全报告
  

具体操作流程

• 查看用户和组
  net user：查看用户 net localgroup 查看组
  隐藏用户：注册表（regedit MACHINE——SAM）\计算机管理——本地用户和组，对比net user结果，查看是否有隐藏用户，看隐藏用户是否是自己创建
  
• 查看服务 services.msc\计算机管理-服务和应用程序 查看自启服务
  
• 文件排查 启动项 msconfig 系统配置-启动，管理启动项 systeminfo 显示系统的详细配置信息，temp文件夹排查
  
• 查看端口 netstat -ano 查看端口状态，防止恶意外联 3389 RDP - 远程桌面协议3306 MySQL 数据库) Establish
  
• 查看DNS解析地址，有没有DNS劫持
  
• 查看有没有恶意程序程序启动信息排查：查看有没有恶意程序 wmic startup get command,caption\tasklist\任务管理器 查看进程
  
• 计划任务排查：计算机管理——系统工具——任务计划程序\操作指令 schtasks 或 at（老版本） 查看是否有计划任务，触发时间、触发位置
  
• 日志查看：eventvwr.msc windows 日志，查看安全日志、系统日志、应用程序日志
  安全日志是系统安全相关的事件，如登录尝试、用户账户的创建或删除、权限修改、访问控制等。系统日志记录与Windows操作系统和硬件组件相关的事件，如操作系统的服务或组件出现的问题，驱动程序加载或错误事件。应用程序日志记录与安装在Windows操作系统上的应用程序相关的事件，如应用程序的错误或警告（apache日志文件，apache logs\error.log错误日志  access.log访问日志）。安全日志中需要注意查看登录事件4624登录成功、4625登录失败，用户管理事件4720创建用户、4738修改用户，文件访问和操作4663：文件或目录访问，远程访问和命令执行事件4648：远程登录尝试，异常用户行为5376：Windows防火墙警告（异常访问）
  

常用的windows系统应急工具

windows系统应急工具：
D盾、PChunter、火绒、360、河马查杀
日志审计相关工具：
360星图、Coralogix

来源：程序园用户自行投稿发布，如果侵权，请联系站长删除
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！