Windows应急响应(超详细)

1.攻击归类

      要进行应急响应,通俗来讲,首先你得知道攻击你的是啥。

常见的攻击归类如下:

1.系统入侵:病毒木马、勒索软件、远控后门

2.web入侵:网页挂马、主页篡改、Webshell
3.网络攻击:DDOS攻击、DNS劫持、ARP欺骗

分类在应急响应整个流程里面还是相对容易的,比如你的网站出事了,被人挂了马或图片,很明显就是web入侵。

如果你被勒索或者被挖矿,或者病毒入侵,都可以视为系统入侵,因为已经打到了你的系统层面,可以调用你的一些系统权限,很明显就是一个系统入侵。

网络攻击查看一手流量分析,实时监控网络就可以看出,不必多说。

2.系统入侵响应

首先你得先明白,此时黑客可能已经获得了部分你的系统权限。

(1)账号的检查

首先调用windows命令窗口,使用
 

net user

 可以查看有无多出来的一个系统用户。

如果没有找到,有可能黑客在在进行权限维持的时候进行了使用了隐藏账户。此时直接使用

管理员权限进入注册表编辑器

计算机\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account

查看Users表项与net user表项中的项数量是否一致

之前的net user只出现了五个账户,但是这里却又六个names,很明显admin$有问题

那么最后进行克隆账户的一个排查。

这里建议直接使用D盾,进行克隆检测

如果发现你的电脑上面没有多出来的一个账户,那么接下来:

(2)进行任务管理器进程排查

这里用我这边的一个事例比较容易讲的清楚:

           起因是朋友的充电线有些发黄,很明显是发热过大,他说是这几天才这样的。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值