Windows应急响应篇
字数 1697 2025-08-09 13:33:42

Windows应急响应技术手册

一、概述

Windows应急响应是网络安全事件处置的关键环节,本手册详细介绍了Windows系统下应急响应的基础技术手段,帮助安全人员在第一时间发现攻击事件并实施有效处置。

二、技术分析

1. 准备工作

  1. 信息收集:了解安全事件详情,包括系统、服务及业务类型
  2. 思路梳理:基于收集信息形成初步分析思路
  3. 工具准备:提前准备所需工具脚本
  4. 数据备份:备份所有分析材料和证据
  5. 时间校准:确保系统时间与北京时间同步,避免日志时间误差

2. 账号分析

账户检查方法

  1. 基础检查

    • net user命令查看用户账户(无法显示隐藏账户)

  2. 图形界面检查

    • 计算机管理→系统工具→本地用户和组→用户(可查看隐藏账户,带$符号)
    • 控制面板→用户账户→管理账户

  3. 注册表检查

    • HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names

  4. 账户详情检查

    • net user [username]查看指定账户详情
    • query user查看当前登录账户

3. 最近打开文件分析

  1. Recent文件夹

    • Win+R输入recent或访问C:\Administrator\Recent

  2. 开始菜单记录

    • 开始菜单右键→属性→开始菜单→勾选"最近使用的项目"

  3. Win10快速访问

    • 文件夹选项勾选快速访问

  4. 回收站检查

    • 检查可能被删除的敏感文件

4. 日志分析

操作系统日志

  • 路径:C:\Windows\System32\winevt\Logs
  • 主要日志类型:
    • 系统日志:操作系统运行信息
    • 应用程序日志:应用程序运行信息
    • 安全日志:审核事件记录(重点关注)

关键安全事件ID

事件ID 描述
4624 成功登录
4625 登录失败
4672 授予特殊权限/超级用户登录
4720 添加用户
4726 删除用户
4634 成功注销
4776 远程登录相关
4648 远程登录相关

Web应用日志

  1. IIS日志

    • 路径:%systemroot%\system32\logfiles\W3SVC1\
    • 包含:时间、源IP、请求方法、URL、端口、User-Agent等

  2. Apache日志

    • 路径:/apache/logs/
    • 包含:access.log(成功请求)和error.log(错误请求)

5. 进程与网络连接分析

网络连接检查

  • netstat命令查看网络连接
  • netstat | findstr [端口]筛选特定连接

进程检查

  1. 图形界面

    • msinfo32系统信息工具
    • 任务管理器

  2. 命令行

    • tasklist查看所有进程
    • tasklist | findstr [PID]筛选特定进程

关联分析流程

  1. 通过netstat找到可疑连接及对应PID
  2. 使用tasklist根据PID定位可疑进程

6. 计划任务分析

  • 计划任务存储位置:

    • C:\Windows\System32\Tasks\
    • C:\Windows\SysWOW64\Tasks\
    • C:\Windows\tasks\

  • 图形界面检查:

    • 运行→taskschd.msc打开任务计划程序

7. 自启动分析

  1. 系统配置

    • 运行→msconfig

  2. 系统信息

    • 运行→msinfo32→软件环境→启动程序

8. Hosts文件分析

  • 路径:C:\Windows\System32\drivers\etc\hosts
  • 检查内容:是否存在异常DNS映射关系

9. Webshell查杀

  • 在完成数据备份后,使用专业工具进行扫描:
    • D盾等webshell查杀工具
    • 病毒扫描工具

三、总结

本手册系统介绍了Windows应急响应的9个关键方面,包括账号、文件痕迹、日志、进程、计划任务等分析技术。掌握这些基础方法后,安全人员可根据实际情况灵活运用,应对各种复杂的安全事件。

Windows应急响应技术手册 一、概述 Windows应急响应是网络安全事件处置的关键环节,本手册详细介绍了Windows系统下应急响应的基础技术手段,帮助安全人员在第一时间发现攻击事件并实施有效处置。 二、技术分析 1. 准备工作 信息收集 :了解安全事件详情,包括系统、服务及业务类型 思路梳理 :基于收集信息形成初步分析思路 工具准备 :提前准备所需工具脚本 数据备份 :备份所有分析材料和证据 时间校准 :确保系统时间与北京时间同步,避免日志时间误差 2. 账号分析 账户检查方法 基础检查 : net user 命令查看用户账户(无法显示隐藏账户) 图形界面检查 : 计算机管理→系统工具→本地用户和组→用户(可查看隐藏账户,带$符号) 控制面板→用户账户→管理账户 注册表检查 : HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names 账户详情检查 : net user [username] 查看指定账户详情 query user 查看当前登录账户 3. 最近打开文件分析 Recent文件夹 : Win+R输入 recent 或访问 C:\Administrator\Recent 开始菜单记录 : 开始菜单右键→属性→开始菜单→勾选"最近使用的项目" Win10快速访问 : 文件夹选项勾选快速访问 回收站检查 : 检查可能被删除的敏感文件 4. 日志分析 操作系统日志 路径: C:\Windows\System32\winevt\Logs 主要日志类型: 系统日志:操作系统运行信息 应用程序日志:应用程序运行信息 安全日志:审核事件记录(重点关注) 关键安全事件ID | 事件ID | 描述 | |--------|------| | 4624 | 成功登录 | | 4625 | 登录失败 | | 4672 | 授予特殊权限/超级用户登录 | | 4720 | 添加用户 | | 4726 | 删除用户 | | 4634 | 成功注销 | | 4776 | 远程登录相关 | | 4648 | 远程登录相关 | Web应用日志 IIS日志 : 路径: %systemroot%\system32\logfiles\W3SVC1\ 包含:时间、源IP、请求方法、URL、端口、User-Agent等 Apache日志 : 路径: /apache/logs/ 包含:access.log(成功请求)和error.log(错误请求) 5. 进程与网络连接分析 网络连接检查 netstat 命令查看网络连接 netstat | findstr [端口] 筛选特定连接 进程检查 图形界面 : msinfo32 系统信息工具 任务管理器 命令行 : tasklist 查看所有进程 tasklist | findstr [PID] 筛选特定进程 关联分析流程 通过 netstat 找到可疑连接及对应PID 使用 tasklist 根据PID定位可疑进程 6. 计划任务分析 计划任务存储位置: C:\Windows\System32\Tasks\ C:\Windows\SysWOW64\Tasks\ C:\Windows\tasks\ 图形界面检查: 运行→ taskschd.msc 打开任务计划程序 7. 自启动分析 系统配置 : 运行→ msconfig 系统信息 : 运行→ msinfo32 →软件环境→启动程序 8. Hosts文件分析 路径: C:\Windows\System32\drivers\etc\hosts 检查内容:是否存在异常DNS映射关系 9. Webshell查杀 在完成数据备份后,使用专业工具进行扫描: D盾等webshell查杀工具 病毒扫描工具 三、总结 本手册系统介绍了Windows应急响应的9个关键方面,包括账号、文件痕迹、日志、进程、计划任务等分析技术。掌握这些基础方法后,安全人员可根据实际情况灵活运用,应对各种复杂的安全事件。