应急响应-windows

流程:

信息收集

systeminfo  查看本机信息收集补丁情况
netstat -ano	查找本机开放端口
tasklist|find"pid"   PID进行定位
Net user	查看本机帐户

乱码 chcp 65001

WEB端

先问负责人
什么问题	先确定应急方向
怎么发现的	找到问题点
什么时候发现的	确定事件的起始时间（方便看web日志）

确定排查的思路(web 系统 网络)
web
灾备处理
1.先把现有所有网站源码下载一份打包，利用D盾或者河马扫描(离线)
2.下载现在网站的所有文件 对比上一次的备份文件（查看多了那些文件）

网站文件不一致
找出异常文件名查看文件的新增时间（就可以知道黑客是什么时候攻击进来的）

网站文件一致
文件对比/md5对比

3.查看日志=>根据时间
日志清除记录：事件D-1102
账户管理记录：(创建用户)事件D-4720、(删除用户)D-4726

4. 本地流量监听 wireshark
先查看网络连接	netstat-ano   tasklist
用杀毒软件全盘杀毒(bitdefender 卡巴斯基	 nod32  360杀毒,火绒)
查看最近打开的页面(文件夹)	%UserProfile%\Recent 
临时文件	temp
清理后门（账号留存 服务后门 开机自启 计划任务）
查看隐藏账号		D盾(工具->克隆账号检测)/打包日志到本地查看
查看隐藏服务		只能一个一个看(自动)=>看其执行文件=>可疑放到D盾扫描
查看开机自启		msconfig
查看计划任务		只能一个一个看
shift后门		   sethc.exe	

拉取日志	(windows自带	防火墙	态势感知)->最少半年日志
工具(FireKylin火麒麟		IR-tool)
应急响应报告	()

后门 shift 5次
takeown  /f  c:\windows\system32\*sethc.exe*  /a  /r  /d  y
cacls c:\windows\system32\*sethc.exe* /T /E /G  administrators:F
将sethc.exe替换为木马
kali远程登录window
rdesktop	ip

1.梳理黑客的攻击路线 2.清理后门 3.流量监测 4.安全加固 5.应急响应事件文档

应急分类

web入侵：网顶挂马、主页篡改、webshell
系统入侵：病毒木马、勒索软件、远控后门
网络攻击：DDOS攻击、DNS劫持、ARP欺骗

病毒 ->破坏 自我复制