qq_34965596的博客

文章目录0x00 应急响应介绍常见的应急响应事件分类入侵排查思路0x01 Windows - 应急响应处置过程1.1 检查系统账号安全1.1.1 检查服务器是否有弱口令1.1.2 检查远程管理端口是否对公网开放1.1.3 查看服务器是否存在可疑账号、新增账号1.1.4 查看服务器是否存在隐藏账号、克隆账号1.2 检查异常端口、进程1.2.1 检查端口连接情况，是否有远程连接、可疑连接1.2.2 检查进程1.3 计划任务1.3.1 任务计划程序1.3.2 自启动1.3.3 组策略1.4 查看可疑目录及文件1.