windows应急响应

最新推荐文章于 2024-10-31 16:24:15 发布
最新推荐文章于 2024-10-31 16:24:15 发布
阅读量1k 收藏 14
点赞数 15
分类专栏: 网络安全 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_50488257/article/details/137481823
版权

前言

        当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。

常见的应急响应事件分类:

web入侵:网页挂马、主页篡改、Webshell

系统入侵:病毒木马(病毒有传染性、木马没有,一般木马都是做后门)、勒索软件、远控后门

网络攻击:DDOS攻击(护网是不允许ddos的)、DNS劫持、ARP欺骗

针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Window服务器入侵排查的思路。

一、windows的入侵排查

1. 检查系统账号安全

查看服务器是否存在可以账号、新增账号。

(1). 可以在cmd终端输入net user或lusrmgr.msc 查看用户信息

(2).可以右键点击此电脑,左键点击管理,找到本地用户和组,在点击用户,也可以看见当前计算机的用户信息。

最低0.47元/天 解锁文章
Windows应急响应
开心星人的博客
07-18 208
此时我们可以通过删除注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\下的SD记录,隐藏计划任务。在Tree下面找到恶意计划任务名称后,根据ID的值在TaskCache\Tasks下面找实际的配置数据。3、检查在C:\windows\system32\Tasks下是否存在执行恶意文件的计划任务配置文件,有的话提取相关证据后删除。查看最近打开的文件,运行窗口中输入。
Windows应急响应-排查方式
rumil的博客
08-05 2120
网络安全应急响应(Network Security Incident Response,又称CSIRT)是指团队或组织为了在网络安全事件发生时能够及时准确地做出反应和应对而建立的一套制度和流程。其目的是降低网络安全事件所造成的损失并迅速恢复受影响的系统和服务。我这里总结了一些 Window 服务器应急响应的思路和方法,希望能对师傅们处理攻击事件或工作中的应急响应有所帮助。常见的应急响应事件分类:常见的应急响应事件可分为四类,如下。
Windows应急响应流程与思路
mashiro_hibiki的博客
04-25 3459
网络安全应急响应(Network Security Incident Response,又称CSIRT)是指团队或组织为了在网络安全事件发生时能够及时准确地做出反应和应对而建立的一套制度和流程。其目的是降低网络安全事件所造成的损失并迅速恢复受影响的系统和服务。我这里总结了一些 Window 服务器应急响应的思路和方法,希望能对师傅们处理攻击事件或工作中的应急响应有所帮助。
【实战】服务隐藏与排查 | Windows 应急响应
jijisaq的博客
03-26 1623
攻击者通过创建服务进行权限维持过程中,常常会通过一些手段隐藏服务,本文主要演示通过配置访问控制策略来实现隐藏的方式以及排查方法的探索不包含通过修改内存中链表进行隐藏的方式。
Windows应急响应基础知识/常用方法
weixin_61355725的博客
08-27 919
无法仅使用名称进入文件夹(例如:cd …不起作用),必须使用cd …WebLogic 9及以后版本:WebLogic安装路径\user_projects\domains\\servers\\logs\。安全日志:用户权限的变化、文件和目录的访问、打印以及用户系统登陆和注销,如有效或无效的登陆尝试、与资源使用有关的事件。IIS日志通常存放在%systemroot%\system32\logfiles\W3SVC1\目录。日志的存储位置于: C:\Windows\System32\winevt\Logs。
windows和linux应急响应
weixin_62693307的博客
02-04 551
对于windows应急响应,我总结了无外乎这几点,查看日志信息、查看进程信息、查看用户信息、查看自启动项、查看系统信息(版本和补丁)、查看最近所使用的程序。4720,4722,4723,4724,4725,4726,4738,4740,事件ID表示当用户帐号发生创建,删除,改变密码时的事件记录。对于linux的应急响应,我总结了无外乎这几点,查看日志信息、查看进程信息、查看用户信息、查看自启动项、查看系统信息(版本和补丁)当出现意外断电关机、系统崩溃时,出现此事件ID。
Windows应急响应】HW蓝队必备——开机启动项、临时文件、进程排查、计划任务排查、注册表排查、恶意进程查杀、隐藏账户、webshell查杀等
m0_62783065的博客
03-01 1164
Windows应急响应】HW蓝队必备——开机启动项、临时文件、进程排查、计划任务排查、注册表排查、恶意进程查杀、隐藏账户、webshell查杀等
Linux &Windows应急响应手册.pdf
12-08
Linux &Windows应急响应手册.pdf
Windows应急响应手册
02-21
### Windows应急响应手册知识点概述 #### 一、Windows操作系统安全挑战 - **封闭性带来的问题**:Windows作为一款闭源操作系统,在一定程度上为用户提供了稳定性和兼容性等优点,但同时也给安全研究人员带来了一定...
Windows应急响应手册v1.0
02-04
### Windows应急响应手册v1.0 #### 一、概览 《Windows应急响应手册v1.0》是一本详尽介绍了Windows系统下网络安全事件应急处理流程与技术手段的手册。该手册覆盖了多种应急场景,并针对不同版本的Windows操作系统...
windows应急响应基础知识
m0_58595840的博客
01-16 512
应急响应windows基础知识
Windows server 2012R2 配置DNS系统
热门推荐
qq_45031509的博客
09-02 1万+
服务器配置与管理的记录
[ 应急响应靶场实战 ] VMware 搭建win server 2012应急响应靶机 & 攻击者获取服务器权限上传恶意病毒 & 防守方人员应急响应并溯源
最新发布
qq_51577576的博客
10-31 4337
[ 应急响应靶场实战 ] VMware 搭建win server 2012应急响应靶机 & 攻击者获取服务器权限上传恶意病毒 & 防守方人员应急响应并溯源 小白跟着教材走也能无障碍完成此应急响应项目
Win2012 r2配置web服务器实例
毕业作品网站
10-14 1924
启动计算机或服务器,进入系统桌面后按键盘的win+pause break组合键查看一下是否Windows Server 2012 R2系统。接着把官方Windows Server 2012 R2系统安装光盘放进计算机或服务器的光驱内。以上的安装配置过程经过了多次在虚拟机软件内试验,开始第一次安装是失败的,接着再重新安装一次就成功了,接着再回到虚拟机内的系统快照去安装也是失败,如果经过多次重新安装失败之后也不能安装成功可以参考以下的网址的步骤去解决。确定系统正确之后,按键盘的win键进入系统的开始菜单。
Windows主机应急响应操作步骤文档
si1ence的博客
03-09 2977
Windows主机应急响应操作步骤文档 0x0 背景 随着主机安全的问题日渐突显,挖矿勒索后门等病毒隐蔽手法越来越多种多样仅仅依靠传统的安全工具不能完全查杀出相关恶意程序。安全事件具有突发性、复杂性与专业性,基于windows系统的一些运行机制人工排查安全事件需要从多个方面去检查与清除,抛砖引玉提出以下思路供参考。 0x1 检查思路 恶意程序本身有网络行为,内存必然有其二...
应急响应-----Windows系统排查(学习笔记)
weixin_44591106的博客
08-06 5088
** 1.windows应急响应事件分类 ** Windows 系统的应急事件,按照处理的方式,可分为下面几种类别: 病毒、木马、蠕虫事件 Web 服务器入侵事件或第三方服务入侵事件 系统入侵事件,如利用 Windows 的漏洞攻击入侵系统、利用弱口令入侵、利用其他服务的漏洞入侵,跟 Web 入侵有所区别,Web 入侵需要对 Web 日志进行分析,系统入侵只能查看 Windows 的事件日志。 网...
Windows应急响应
m0_67401055的博客
05-15 3190
转载至奇安信攻防社区-Windows应急响应Windows应急响应篇 本篇主要以windows应急响应的基础技术手段进行介绍。 一、概述: 近年来,随着互联网的发展网络安全攻击事件也是大幅度增多,如何在第一时间发现攻击事件,并实施应急处置,能够有效的将损失降到最低。在实施应急响应的过程中,需要从多方面进行联动工作,具体的流程和依据可以参考《GB∕T 38645-2020 信息安全技术 网络安全事件应急演练指南》,本篇主要以windows应急响应的基础技术手段进行介绍。 二、技术分析 1、准备工作 在
Windows系统应急响应
谢公子的博客
10-02 1342
Windows 系统的应急事件,按照处理的方式,可分为下面几种类别: 病毒、木马、蠕虫事件 Web 服务器入侵事件 或安装的第三方服务入侵事件。 系统入侵事件,如利用 Windows 的漏洞攻击入侵系统、利用RDP服务弱口令入侵,跟 Web 入侵有所区别,Web 入侵需要对 Web 日志进行分析,系统入侵只能查看 Windows 的事件日志。 网络攻击事件(DDoS、ARP、DNS 劫持...
windows应急响应(一)
Websec
09-10 1910
常见的入侵时间的排查思路如下: 攻击类型定位->时间范围->文件分析->进程分析->系统分析->日志分析->关联分析->逻辑推理->事件总结 参考文章:http://www.freebuf.com/column/178677.html https://www.cnblogs.com/shellr00t/p/6943796.html?utm_so...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值