windows系统应急响应排查手册教程

2021-08-04由程序员日记发表于系统教程 浏览22次

目录

windows系统应急响应排查手册

windows运行常用命令

eventvwr     //系统登陆日志
lusrmgr.msc  //系统用户查看
msconfig     //系统启动项查看
ncpa.cpl     //网络连接
firewall.cpl //防火墙状态
taskschd.msc //定时任务

系统安全登陆日志

eventvwr

============================================================================================================================================================================================================================================================================================================

windows系统应急响应排查手册教程

  • 4624表示登陆成功
  • 4625表示登陆失败

系统日志

  • 41 kernel-power 计算机蓝屏

登陆类型说明测试是否会记录登陆IP地址Logon type 2 Interactive本地交互登录。最常见的登录方式。用户关机本地登陆,登陆会触发此登陆类型日志记录127.0.0.1本地IP地址Logon type 3 Network网络登录 - 最常见的是访问网络共享文件夹或打印机。IIS的认证也是Type 3hydra对445端口(smb)爆破会触发此登陆类型系统日志
IPC$爆破会触发此类登陆类型系统日志hydra会记录IP地址与登陆用户
IPC$不会记录登录用户Logon type 4 Batch 计划任务 Logon Type 10 RemoteInteractiveRemoteInteractive 远程登录 -- 比如Terminal service或者RDP方式。但是Windows 2000是没有Type10的,用Type 2。WindowsXP/2003起有Type 10RDP爆破登陆会触发此登陆类型系统日志
mstsc远程登陆会触发此登陆类型系统日志会记录IP地址与登陆用户Logon Type 7 Unlock解除屏幕锁定

系统用户排查

net user     //无法看到$隐藏用户
lusrmgr.msc
regedit.msc  //machine->sam该项->权限->替代所有子对象的权限项目

net user

net user
net user 用户 //查看用户详细信息

windows系统应急响应排查手册教程
windows系统应急响应排查手册教程

lusrmgr.msc

lusrmgr.msc

windows系统应急响应排查手册教程

regedit

regedit

windows系统应急响应排查手册教程
windows系统应急响应排查手册教程
windows系统应急响应排查手册教程

启动项排查

msconfig->services.msc->服务属性
regedit->machine->microsoft->windows->currentversion->run

msconfig

msconfig->services.msc->服务属性
SC delete 服务名
//启动服务删除

windows系统应急响应排查手册教程
windows系统应急响应排查手册教程

regedit->machine->microsoft->windows->currentversion->run

windows系统应急响应排查手册教程

定时任务

计算机->属性->管理
控制版面->管理工具->计划任务
taskschd.msc

计算机->属性->管理

控制版面->管理工具->计划任务

taskschd.msc

windows系统应急响应排查手册教程

进程排查

任务管理器
tasklist

任务管理器

windows系统应急响应排查手册教程

tasklist

tasklist /svc

windows系统应急响应排查手册教程

网络状态排查

netstat -ano

netstat -anob

windows系统应急响应排查手册教程

pid定位

tasklist | find "pid"
wmic process get name,executablepath,processid | find 进程pid
wmic process where name="powershell.exe"

tasklist | findstr "pid"

windows系统应急响应排查手册教程

wmic process get name,executablepath,processid | find 进程pid

windows系统应急响应排查手册教程

wmic process where name="powershell.exe"

windows系统应急响应排查手册教程