標籤:雲安全 入侵分析 Windows IaaS 雲平台
一、如何找到惡意檔案tasklist | findstr "$PID" 或 wmic process get name,executablepath,processid | findstr $PID
$PID為可以進程的PID號
(1)利用工作管理員和CMD命令列手工找惡意檔案
(2)進程分析神器PC Hunter (www.xuetr.com ) 沒有發布方簽名的、名字/路徑異常的都可能是可以進程
(3)進程分析神器Process Explore https://technet.microsoft.com/en-us/sysinternals/bb896653/
(4)簡單粗暴:360安全衛士木馬全盤查殺
關於PC Hunter和Process Explore,我會在其他篇章中具體介紹。
1.windows內建日誌管理器:eventvwr
2.日誌分析神器splunk
Event ID:4722建立使用者
Event ID:4624RDP登入成功
Event ID:7045註冊為windows服務
關於windows登入成功的日誌和藉助Splunk分析將會在其他篇章中介紹。
三、其他輔助手段1.查看使用者 net user
2.檢測否是弱密碼 https://password.kaspersky.com/
3.效能監控器 perfmon.msc
4.資源監視器 resmon.exe
5.註冊表 regedit.exe
6.組策略 gpedit.msc
7.Wndows更新檢查
8.查看計劃任務
a) Windows server 2008 運行at
b) Windows server 2012 運行schtasks.exe
9.雲端服務商一般都會提供Threat Detection Service服務,藉助IDS/WAF/安全防護日誌輔助分析
Windows主機入侵分析思路
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
