应急响应流程及对常见的病毒应急方法、Windows安全事件查看及安全事件id汇总
字数 2915 2025-08-10 17:51:49
Windows应急响应与安全事件分析指南
一、应急响应流程
1. 响应与保护
- 首要任务:保护第一现场,避免进一步破坏
- 了解情况:
- 确认事件类型(病毒、入侵、数据泄露等)
- 操作系统类型及版本
- 是否有类似历史事件记录
2. 阻断措施
- 网络隔离:立即切断受影响主机的网络连接
- 传播阻断:防止恶意代码扩散
- 核心资产隔离:保护关键业务系统和数据
3. 分析排查
(1) 痕迹分析
- 系统日志分析
- 网络流量分析
- 恶意样本提取
(2) 行为分析
- 还原攻击流程
- 确定攻击路径和方式
(3) 漏洞排查
- 检查已知漏洞利用情况
- 验证系统补丁状态
(4) 系统基本信息检查
- Windows:检查补丁信息
- Linux:查看系统ARP表 (
uname -a)
(5) 异常连接排查
- Windows:
netstat -ano | findstr ESTABLISHED - Linux:
lsof -i netstat -antlp
(6) 异常进程排查
- Windows:
tasklist | findstr <key> wmic process | findstr "" - Linux:
ps -aux top ps -ef | grep <process> # 查看隐藏进程 ps -ef top -a lsof -i
(7) 异常账号排查
- Windows:
lusrmgr.msc查看用户组和账户
- Linux:
w # 查看当前登录用户 last # 查看历史登录记录 lastlog # 查看用户最后登录时间 lastb # 显示用户错误登录记录 usermod -L user # 锁定用户- 重要文件:
/etc/passwd:存储账户基本信息/etc/shadow:存储用户密码哈希(影子文件)
- 重要文件:
(8) 异常文件分析
- Windows:
- 检查
%UserProfile%\Recent查看最近打开的文件
- 检查
- Linux:
stat /etc/passwd # 分析文件日期 find ./ -mtime 0 -name "*.php" # 查看24小时内修改的PHP文件 ls -alt /tmp/ # 查看敏感目录文件
(9) 启动项排查
- Windows:
msconfig - Linux:
more /etc/rc.local
(10) 计划任务检查
- Windows:
taskschd.msc - Linux:
crontab -l
(11) 日志排查(Linux重点)
/var/log/sshd.log- SSH日志/var/log/secure- 认证和授权信息/var/log/messages- 系统整体信息/var/log/dmesg- 内核缓冲信息/var/log/boot.log- 系统启动日志/var/log/cron- 计划任务日志/var/log/wtmp或/var/log/utmp- 登录信息/var/log/faillog- 登录失败信息
4. 清除
- 确认并清除所有恶意文件、进程和账号
- 修复被篡改的系统配置
5. 加固
- 更新系统和应用补丁
- 修改弱密码
- 调整安全策略
- 部署安全监控工具
二、常见病毒应急响应
1. 蠕虫病毒
特征:
- 自我复制传播
- 服务器主动向外发起大量连接
响应步骤:
- 隔离感染主机
- 使用工具(如D盾)检查异常端口连接
- 全盘扫描定位异常文件
- 使用多引擎在线扫描确认病毒类型
- 关闭异常端口、清除文件、专用工具查杀
2. 网页篡改
类型:
- 明显篡改(炫耀技术)
- 隐藏式篡改(植入非法链接)
响应步骤:
- 查找近期被篡改或新增的文件
- 检查文件内容是否被注入恶意代码
- 如文件未修改,检查数据库注入
- 修复漏洞,清除恶意内容
3. 勒索病毒
特征:
- 文件被加密且后缀被改
- 出现勒索信息
- 业务系统无法访问
响应步骤:
- 隔离被感染主机
- 排查业务系统影响范围
- 根据勒索信息确定病毒类型
- 处置措施:
- 检查并清除异常文件
- 检查并安装补丁
- 排查并删除可疑账号
- 检查并终止异常进程
- 检查计划任务
- 分析网络流量
4. 挖矿病毒
特征:
- CPU占用异常高
- 与挖矿域名连接
响应步骤:
- 隔离主机
- 使用
top查看高CPU进程 - 通过PID定位进程文件
- 沙箱分析文件行为
- 检查:
- 计划任务
- SSH公钥
- 启动项(
/etc/rc.local) - 用户账号
- 系统日志
- 定时任务
5. 0day漏洞排查
步骤:
- 使用Wireshark、TCPDump分析异常流量
- 检查可疑IP来源
- 分析应用程序日志
- 检查系统异常文件
- 及时更新补丁
6. 钓鱼邮件响应
措施:
- 隔离钓鱼邮件
- 如已点击链接:
- 断网关机
- 全盘杀毒
- 安全扫描
- 如泄露敏感信息:
- 立即修改密码
- 监控账号活动
- 更新安全软件和系统
- 检查邮件过滤策略
三、Windows安全事件ID详解
常用系统事件ID
| ID | 描述 |
|---|---|
| 1074 | 记录开机、关机、重启时间及原因 |
| 6005 | 事件日志服务启动(系统正常启动) |
| 104 | 审计日志被清除 |
关键安全事件ID
登录相关
| ID | 描述 |
|---|---|
| 4624 | 账户成功登录 |
| 4625 | 账户登录失败 |
| 4648 | 使用显式凭据尝试登录 |
| 4776 | 域控制器验证账户凭据 |
账户变更
| ID | 描述 |
|---|---|
| 4720 | 用户账户创建 |
| 4722 | 用户账户启用 |
| 4723 | 尝试更改账户密码 |
| 4724 | 尝试重置账户密码 |
| 4725 | 用户账户被禁用 |
| 4726 | 用户账户被删除 |
| 4738 | 用户账户变更 |
| 4740 | 用户账户被锁定 |
组变更
| ID | 描述 |
|---|---|
| 4727 | 创建安全全局组 |
| 4728 | 成员添加到安全全局组 |
| 4729 | 成员从安全全局组移除 |
| 4732 | 成员添加到安全本地组 |
| 4733 | 成员从安全本地组移除 |
进程相关
| ID | 描述 |
|---|---|
| 4688 | 新进程创建 |
| 4689 | 进程退出 |
| 4697 | 服务安装 |
策略变更
| ID | 描述 |
|---|---|
| 4719 | 系统审计策略变更 |
| 4816 | RPC解密完整性违规 |
| 4907 | 对象审计设置变更 |
防火墙/IPsec
| ID | 描述 |
|---|---|
| 5154 | 允许应用程序监听端口 |
| 5155 | 阻止应用程序监听端口 |
| 5156 | 允许连接 |
| 5157 | 阻止连接 |
| 5451 | IPsec快速模式安全关联建立 |
特殊事件
| ID | 描述 |
|---|---|
| 1102 | 审核日志被清除(可疑行为) |
| 4663 | 尝试访问对象(文件/注册表) |
| 4698 | 计划任务创建 |
| 4699 | 计划任务删除 |
| 4700 | 计划任务启用 |
四、实用命令速查表
Windows命令
# 网络连接
netstat -ano | findstr ESTABLISHED
# 进程查看
tasklist | findstr <key>
wmic process | findstr ""
# 用户管理
lusrmgr.msc
# 启动项
msconfig
# 计划任务
taskschd.msc
Linux命令
# 网络连接
lsof -i
netstat -antlp
# 进程查看
ps -aux
top
ps -ef | grep <process>
# 用户管理
w
last
lastlog
lastb
usermod -L user
# 文件分析
find ./ -mtime 0 -name "*.php"
stat /etc/passwd
# 启动项
more /etc/rc.local
# 计划任务
crontab -l
五、日志分析重点路径
Linux关键日志路径
/var/log/secure- 认证日志/var/log/messages- 系统消息/var/log/cron- 计划任务/var/log/wtmp- 登录记录/var/log/audit/- 审计日志
本指南涵盖了从应急响应流程到具体病毒处理方案,再到Windows事件ID解析的完整知识体系,可作为安全运维人员的实用参考手册。