Windows应急响应常识

Posted 0x4d75

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Windows应急响应常识相关的知识,希望对你有一定的参考价值。

Windows 应急响应

常见事件ID

  • 1102 清理审计日志
  • 4624 账号登陆成功
  • 4625 账号登陆失败
  • 4672 授予特殊权限
  • 4720 创建用户
  • 4726 删除用户
  • 4728 将成员添加到启用安全的全局组中
  • 4729 将成员从安全组移除
  • 4732 将成员添加到启用安全的本地组中
  • 4733 将成员从启用安全的本地组移除
  • 4756 将成员添加到启用安全的通用组中
  • 4757 将成员从启用安全的通用组中移除
  • 4719 系统审计策略修改

常见登陆类型

  • 2 交互式登陆(用户从控制台登陆)
  • 3 网络 (比如通过net use,访问共享网络、共享文件夹)
  • 4 批处理 (计划任务)
  • 5 服务启动 (服务启动时,win会先创建一个新的登陆会话)
  • 6 不支持
  • 7 解锁 (锁屏解锁)
  • 8 网络明文 (IIS服务器登陆验证)
  • 9 新凭证 (使用带/netonly 参数的runas命令允许程序时)
  • 10 远程交互 (终端服务、远程桌面、远程辅助)
  • 11 缓存域证书登陆

命令

netstat -ano | more

tasklist | findstr "xxx"

systeminfo

net user

net user admin

Reference

http://www.freebuf.com/vuls/175560.html

以上是关于Windows应急响应常识的主要内容,如果未能解决你的问题,请参考以下文章

Windows系统入侵排查与应急响应技术

Windows和Linux网络威胁入侵的应急响应思路和方法

应急响应——Windows入侵排查

应急响应 Windows和Linux操作系统(查杀 后门木马,处理 勒索病毒.)

应急响应篇:windows入侵排查

应急响应Windows 安全部署