TreeMind树图在线AI思维导图
当前位置:树图思维导图模板行业/职业模板其他Windows入侵排查思维导图

Windows入侵排查思维导图

  收藏
  分享
免费下载
免费使用文件
U862079285 浏览量:1292024-03-24 16:44:33
已被使用18次
查看详情Windows入侵排查思维导图

系统账号安全,端口检查,系统信息等内容讲解

树图思维导图提供 Windows入侵排查 在线思维导图免费制作,点击“编辑”按钮,可对 Windows入侵排查  进行在线思维导图编辑,本思维导图属于思维导图模板主题,文件编号是:effd59472a54fe80991692a640314219

思维导图大纲

Windows入侵排查思维导图模板大纲

〇、异常特征

操作异常

卡顿、报错、重启、蓝屏

资源异常

CPU、内存、网络

文件异常

恶意文件、加密文件

设备告警

防火墙,杀软,检测平台IDS,态势感知平台等

一、系统账号安全

弱口令

系统管理员掌握

远程桌面

netstat -an |findstr 3389

可疑账号

net user

net user 用户名

lusrmgr.msc

隐藏、克隆账号

隐藏账号

管理员打开cmd

net user hack$ wuya@hacker179 /add

regedit

HKEY_LOCAL_MACHINE\SAM\SAM

设置权限

在Domains\Account\Users\Names下可以看到隐藏用户

net user hack$ /delete

检查方法

a、打开注册表 ,查看管理员对应键值。

b、使用D盾_web查杀工具,集成了对克隆账号检测的功能。

参考

https://blog.csdn.net/weixin_43598634/article/details/122902727

克隆账号

《windows权限维持》

登录时间

eventvwr.msc

事件查看器

【Windows日志】

https://blog.csdn.net/m0_73923817/article/details/128202250

二、检查异常端口、进程

端口

端口情况

netstat -ano

最后一位是进程号

进程情况

tasklist|findstr "25056"

taskkill /f /t /im httpd.exe

系统端口号(预定义)

‪C:\Windows\System32\drivers\etc\services

进程

msinfo32

软件环境——正在运行任务

D盾

WebShellKill_V2.0.9.zip

微软提供的高级任务管理器

ProcessExplorer.zip

任务管理器——选择对应进程——右键打开文件位置

三、启动项、计划任务、服务

启动项

【开始】——【所有程序】——【启动】

msconfig

注册表regedit

HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

火绒——安全工具——启动项管理

计划任务

taskschd.msc

compmgmt.msc

schtasks.exe

服务

services.msc

sc create shell start= auto binPath= "C:\phpstudy_pro\WWW\1.exe" obj= Localsystem

sc description "shell" "安全"

组策略

gpedit.msc

【Windows设置】——【脚本(启动/关机)】——双击【启动】

添加的脚本或者PowerShell

四、检查系统相关信息

查找可疑目录及文件

C:\Users

最近打开文件

%userprofile%\AppData\Roaming\Microsoft\Windows\Recent\

回收站、浏览器下载目录、浏览器历史记录

根据内容搜索恶意文件

findstr /m/i/s "eval" *.php

everything、filelocator

最新修改文件

everything

查看系统版本以及补丁信息

systeminfo.exe > systeminfo.txt

工具

pip install xlrd==1.2.0

pip install xlrd --upgrade

python2 windows-exploit-suggester.py -d 2023-03-11-mssb.xls -i systeminfo

五、应急响应工具箱和报告模板

应急响应Checklist

Linux应急响应Checklist.xlsx

应急响应工具箱

Linux应急响应工具箱.zip

Windows应急工具集.zip

应急响应报告

【终稿】XX市第一人民医院应急响应报告-20220813.docx

相关思维导图模板

埃隆·马斯克的商业版图思维导图

树图思维导图提供 埃隆·马斯克的商业版图 在线思维导图免费制作,点击“编辑”按钮,可对 埃隆·马斯克的商业版图  进行在线思维导图编辑,本思维导图属于思维导图模板主题,文件编号是:7464362ac911e8a334867bb3fc7a2346

主机安全防御思维导图

树图思维导图提供 主机安全防御 在线思维导图免费制作,点击“编辑”按钮,可对 主机安全防御  进行在线思维导图编辑,本思维导图属于思维导图模板主题,文件编号是:fa34d4fe2f232e3cb5713f4995d45a66