標籤:windows 日常巡檢 應急響應等
一:日常巡檢:
1.日誌:
a:事件檢視器中,查看日誌。應用程式,安全性,系統,觀察是否被入侵。
b:查看記錄在c:\DOCUMENTS AND SETTINGS
c:修改後門帳號密碼。進去查看曆史瀏覽網頁等一些東西
2.進程,連接埠,網路連接,服務:
a:tasklisk 查看進程
b:netstatt -an 查看連接埠串連狀態
c:使用一些安全工具,分析後台木馬等
d:在服務中,查看是否插入了系統進程。。
4.cpu,記憶體,流量:
可能用伺服器發動DDOS攻擊,或者掃描其它伺服器,導致cpu,記憶體達到峰值
5.使用者:
a:在cmd中使用net user
b:管理,本機使用者組,使用者。觀察裡面使用者帳號
c:在註冊表:HKEY_LOCAL_MACHINE --> software --> microsoft --> windows nt -->
currentversion --> profilelist中 快速檢測以前存在過哪些帳號
d:在註冊表中查看安裝軟體記錄HKEY_LOCAL_MACHINE --> software --> microsoft --> windows nt --> currentversion -->uninstall中
6.以及其他一些細節
a:攻擊者軟體基本放在在c:\windows中,搜尋*.exe來排查(顯示系統屬性檔案,有
可能用attrib來更改屬性)
b:禁用掉攻擊者可能利用的系統工具。如net,attrib等
c:在註冊表裡查看啟動項
二:應急響應報告:
架構大概:
目錄
1概況
2工作描述
2.1網路和伺服器情況
2.2被攻擊情況
2.3入侵檢查過程
2.3.1C盤存在駭客上傳的檔案
2.3.2對前段部分web網站http日誌進行分析
2.3.3查看系統隱藏進程
2.3.4對系統進行sniffer抓包
2.3.5對伺服器安全日誌進行分析
3綜合分析
4改進建議
三:簡單預案方法:
1. 迅速隔離感染病毒的系統
2. 如果懷疑是病毒,則應該儘快將奧組委的網路和外網隔離。在斷開與外網的串連之前,與LAN 、WAN的管理員一起確定最好的方案;
3. 儘快通知資訊安全管理小組,如果10分鐘內不能聯絡到資訊安全管理小組,則聯絡備份人員;
4. 在一小時之內通知資訊安全分管領導,如果必要,資訊安全分管領導應該向上級彙報;
5. 在2小時之內通知相關的主機管理員/網路系統管理員
6. 在等待主機管理員/網路系統管理員/過程中,嘗試去追溯攻擊來源,並確定究竟有多少系統受到影響。備份系統的記錄檔和其他相關的檔案;
7. 資訊安全管理小組決定下一步應該做的工作,並分配做相應工作的人員;
8. 如果必要的話,資訊安全管理小組應該向上級彙報,並在安全調查的基礎上寫出事件總結報告,送交相應的管理員。
本文出自 “Tail__” 部落格,請務必保留此出處http://tail123.blog.51cto.com/12270213/1928769
滲透測試02------windows日常巡檢,應急響應等總結