滲透測試02------windows日常巡檢，應急響應等總結

標籤：windows   日常巡檢   應急響應等   

一：日常巡檢:

1.日誌:

         a：事件檢視器中，查看日誌。應用程式，安全性，系統，觀察是否被入侵。

         b：查看記錄在c:\DOCUMENTS AND SETTINGS

         c:修改後門帳號密碼。進去查看曆史瀏覽網頁等一些東西

2.進程，連接埠，網路連接，服務:

          a：tasklisk 查看進程

          b:netstatt -an 查看連接埠串連狀態

          c:使用一些安全工具，分析後台木馬等

         d:在服務中，查看是否插入了系統進程。。

4.cpu，記憶體，流量:

           

           可能用伺服器發動DDOS攻擊，或者掃描其它伺服器，導致cpu，記憶體達到峰值

5.使用者:

          a:在cmd中使用net user 

          b:管理，本機使用者組，使用者。觀察裡面使用者帳號

          c:在註冊表：HKEY_LOCAL_MACHINE --> software  --> microsoft -->  windows nt --> 

              currentversion --> profilelist中 快速檢測以前存在過哪些帳號

          d:在註冊表中查看安裝軟體記錄HKEY_LOCAL_MACHINE --> software  --> microsoft -->                    windows nt --> currentversion -->uninstall中

6.以及其他一些細節

               a:攻擊者軟體基本放在在c:\windows中，搜尋*.exe來排查（顯示系統屬性檔案，有

                   可能用attrib來更改屬性）

               b:禁用掉攻擊者可能利用的系統工具。如net,attrib等

               c:在註冊表裡查看啟動項

二：應急響應報告:

 架構大概：

                                                                       目錄

1概況

2工作描述

2.1網路和伺服器情況

2.2被攻擊情況

2.3入侵檢查過程

2.3.1C盤存在駭客上傳的檔案

2.3.2對前段部分web網站http日誌進行分析

2.3.3查看系統隱藏進程

2.3.4對系統進行sniffer抓包

2.3.5對伺服器安全日誌進行分析

3綜合分析

4改進建議

三：簡單預案方法:

1. 迅速隔離感染病毒的系統

2. 如果懷疑是病毒，則應該儘快將奧組委的網路和外網隔離。在斷開與外網的串連之前，與LAN 、WAN的管理員一起確定最好的方案；

3. 儘快通知資訊安全管理小組，如果10分鐘內不能聯絡到資訊安全管理小組,則聯絡備份人員；

4. 在一小時之內通知資訊安全分管領導，如果必要，資訊安全分管領導應該向上級彙報；

5. 在2小時之內通知相關的主機管理員/網路系統管理員

6. 在等待主機管理員/網路系統管理員/過程中，嘗試去追溯攻擊來源，並確定究竟有多少系統受到影響。備份系統的記錄檔和其他相關的檔案；

7. 資訊安全管理小組決定下一步應該做的工作，並分配做相應工作的人員；

8. 如果必要的話，資訊安全管理小組應該向上級彙報，並在安全調查的基礎上寫出事件總結報告，送交相應的管理員。

本文出自 “Tail__” 部落格，請務必保留此出處http://tail123.blog.51cto.com/12270213/1928769

滲透測試02------windows日常巡檢，應急響應等總結