免责声明: 文章仅用于技术分享,切勿非法测试,由于传播、利用本公众号朱厌安全团队所提供的信息而造成的后果以及损失,均由使用者本人承担,本公众号朱厌安全团队以及作者不为此承担任何责任!如有侵权烦请告知,我们会立即删除并致歉!
0X00 异常资源
端口: 检查端口连接情况,是否有远程连接、可疑连接
检查方法: 首先模拟msf连接服务器
![系统关键位置排查(Windows)]( "系统关键位置排查(Windows)")
1.使用netstat -ano 命令查看目前的网络连接,定位可疑的 ESTABLISHED
2.根据 netstat 命令定位出的 PID 编号,再通过 tasklist 命令进行进程定位 tasklist | findstr "PID"
3.查找到可疑进程PID:5748
![系统关键位置排查(Windows)]( "系统关键位置排查(Windows)")
![系统关键位置排查(Windows)]( "系统关键位置排查(Windows)")
这个就是msf进程
进程排查
•开始 -- 运行 -- 输入 msinfo32 命令,依次点击 "软件环境 -- 正在运行任务" 就可以查看到进程的详细信息,比如进程路径、进程ID、文件创建日期以及启动时间等
•打开D盾_web查杀工具,进程查看,关注没有签名信息的进程
•通过微软官方提供的 Process Explorer 等工具进行排查
•查看可疑的进程及其子进程。可以通过观察以下内容:
○没有签名验证信息的进程
○没有描述信息的进程
○进程的属主
○进程的路径是否合法
○CPU 或内存资源占用长时间过高的进程
![系统关键位置排查(Windows)]( "系统关键位置排查(Windows)")
也可以使用D盾查看连接情况
![系统关键位置排查(Windows)]( "系统关键位置排查(Windows)")
小技巧:
•查看端口对应的 PID:netstat -ano | findstr "port"
•查看进程对应的 PID:任务管理器 -- 查看 -- 选择列 -- PID 或者 tasklist | findstr "PID"
•查看进程对应的程序位置:
○任务管理器 -- 选择对应进程 -- 右键打开文件位置
○运行输入 wmic,cmd 界面输入 `process```
•tasklist /svc 进程 -- PID -- 服务
•查看Windows服务所对应的端口:%systemroot%/system32/drivers/etc/services(一般 %systemroot% 就是 C:Windows 路径)
直接kill进程:taskkill /PID 5748 -f # 强制终止进程
![系统关键位置排查(Windows)]( "系统关键位置排查(Windows)")
0X01 系统信息
1、查看系统版本以及补丁信息
•检查方法:单击【开始】>【运行】,输入 systeminfo,查看系统信息
2、查找可疑目录及文件
•检查方法:
•a、 查看用户目录,新建账号会在这个目录生成一个用户目录,查看是否有新建用户目录
|
Plaintext
Window 2003版本 C:Documents and Settings
Window 2008R2及以后版本 C:Users
|
•b、单击【开始】>【运行】,输入 %UserProfile%Recent,分析最近打开分析可疑文件
•c、在服务器各个目录,可根据文件夹内文件列表时间进行排序,查找可疑文件
•d、回收站、浏览器下载目录、浏览器历史记录
•e、修改时间在创建时间之前的为可疑文件
3、发现并得到 WebShell、远控木马的创建时间,如何找出同一时间范围内创建的文件?
a、利用 Registry Workshop 注册表编辑器的搜索功能,可以找到最后写入时间区间的文件。 b、利用计算机自带文件搜索功能,指定修改时间进行搜索
0X02 检查启动项,计划任务,服务
1、检查服务器是否有异常的启动项
•检查方法:
•a、登录服务器,单击【开始】>【所有程序】>【启动】,默认情况下此目录在是一个空目录,确认是否有非业务程序在该目录下。b、单击开始菜单 >【运行】,输入 msconfig,查看是否存在命名异常的启动项目,是则取消勾选命名异常的启动项目,并到命令中显示的路径删除文件。 c、单击【开始】>【运行】,输入 regedit,打开注册表,查看开机启动项是否正常,特别注意如下三个注册表项:
|
Plaintext
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionrun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunonce
|
•检查右侧是否有启动异常的项目,如有请删除,并建议安装杀毒软件进行病毒查杀,清除残留病毒或木马
![系统关键位置排查(Windows)]( "系统关键位置排查(Windows)")
d、利用安全软件查看启动项、开机时间管理等
e、组策略,运行 gpedit.msc
![系统关键位置排查(Windows)]( "系统关键位置排查(Windows)")
2、检查计划任务
•检查方法:
•a、单击【开始】>【设置】>【控制面板】>【任务计划】,查看计划任务属性,便可以发现木马文件的路径
•b、单击【开始】>【运行】;输入 cmd,然后输入 at,检查计算机与网络上的其它计算机之间的会话或计划任务,如有,则确认是否为正常连接
3、服务自启动
•检查方法:单击【开始】>【运行】,输入 services.msc,注意服务状态和启动类型,检查是否有异常服务
0X03 系统账号
1、查看服务器是否弱口令,远程管理端口是否对公网开放
•检查方法:据实际情况咨询相关服务器管理员
2、查看服务器是否存在可以账号,新增账号
•检查方法:打开cmd窗口,输入lusrmgr.msc命令,查看是否有新增/可疑的账号,如有管理员群组的(Administrators)里的新增账户,如有,请立即禁用或删除掉
![系统关键位置排查(Windows)]( "系统关键位置排查(Windows)")
3、查看服务器是否存在隐藏账号、克隆账号
使用命令net localgroup administrators test$ /add
会建立隐藏用户,具有administrator的所有权限。在使用net user时是看不到这个用户
只能在策略组里面查看到这个隐藏用户
![系统关键位置排查(Windows)]( "系统关键位置排查(Windows)")
•检查方法:
1.打开注册表,查看管理员对应键值或者通过cmd命令
![系统关键位置排查(Windows)]( "系统关键位置排查(Windows)")
2.使用D盾_web查杀工具,集成了对克隆账号检测的功能
![系统关键位置排查(Windows)]( "系统关键位置排查(Windows)")
4、结合日志,查看管理员登录时间、用户名是否存在异常
•检查方法:
•a、Win+R 打开运行,输入"eventvwr.msc",回车运行,打开“事件查看器”
•b、导出 Windows 日志 -- 安全,利用微软官方工具 Log Parser 进行分析
0X04 windows安全事件id汇总
Win+R打开运行,输入“eventvwr.msc”,回车运行,打开“事件查看器”;或者右键我的电脑-管理-系统工具-事件查看器。在事件查看器中右键单击系统或安全日志,选择筛选当前日志,在筛选器中输入下列事件ID即可
日志路径:C:WindowsSystem32winevtLogs
查看日志:Security.evtx、System.evtx、Application.evtx
常用安全事件ID:
系统:
1074,通过这个事件ID查看计算机的开机、关机、重启的时间以及原因和注释
6005,表示计算机日志服务已启动,如果出现了事件ID为6005,则表示这天正常启动了系统
104,这个时间ID记录所有审计日志清除事件,当有日志被清除时,出现此事件ID
安全:
4624,这个事件ID表示成功登陆的用户,用来筛选该系统的用户登陆成功情况
4625,这个事件ID表示登陆失败的用户。
4720,4722,4723,4724,4725,4726,4738,4740,事件ID表示当用户帐号发生创建,删除,改变密码时的事件记录
4727,4737,4739,4762,事件ID表示当用户组发生添加、删除时或组内添加成员时生成该事件
![系统关键位置排查(Windows)]( "系统关键位置排查(Windows)")
安全事件ID汇总备查:
|
Bash
EVENT_ID 安全事件信息
1100 ----- 事件记录服务已关闭
1101 ----- 审计事件已被运输中断。
1102 ----- 审核日志已清除
1104 ----- 安全日志现已满
1105 ----- 事件日志自动备份
1108 ----- 事件日志记录服务遇到错误
4608 ----- Windows正在启动
4609 ----- Windows正在关闭
4610 ----- 本地安全机构已加载身份验证包
4611 ----- 已向本地安全机构注册了受信任的登录进程
4612 ----- 为审计消息排队分配的内部资源已经用尽,导致一些审计丢失。
4614 ----- 安全帐户管理器已加载通知包。
4615 ----- LPC端口使用无效
4616 ----- 系统时间已更改。
4618 ----- 已发生受监视的安全事件模式
4621 ----- 管理员从CrashOnAuditFail恢复了系统
4622 ----- 本地安全机构已加载安全包。
4624 ----- 帐户已成功登录
4625 ----- 帐户无法登录
4626 ----- 用户/设备声明信息
4627 ----- 集团会员信息。
4634 ----- 帐户已注销
4646 ----- IKE DoS防护模式已启动
4647 ----- 用户启动了注销
4648 ----- 使用显式凭据尝试登录
4649 ----- 检测到重播攻击
4650 ----- 建立了IPsec主模式安全关联
4651 ----- 建立了IPsec主模式安全关联
4652 ----- IPsec主模式协商失败
4653 ----- IPsec主模式协商失败
4654 ----- IPsec快速模式协商失败
4655 ----- IPsec主模式安全关联已结束
4656 ----- 请求了对象的句柄
4657 ----- 注册表值已修改
4658 ----- 对象的句柄已关闭
4659 ----- 请求删除对象的句柄
4660 ----- 对象已删除
4661 ----- 请求了对象的句柄
4662 ----- 对对象执行了操作
4663 ----- 尝试访问对象
4664 ----- 试图创建一个硬链接
4665 ----- 尝试创建应用程序客户端上下文。
4666 ----- 应用程序尝试了一个操作
4667 ----- 应用程序客户端上下文已删除
4668 ----- 应用程序已初始化
4670 ----- 对象的权限已更改
4671 ----- 应用程序试图通过TBS访问被阻止的序号
4672 ----- 分配给新登录的特权
4673 ----- 特权服务被召唤
4674 ----- 尝试对特权对象执行操作
4675 ----- SID被过滤掉了
4688 ----- 已经创建了一个新流程
4689 ----- 一个过程已经退出
4690 ----- 尝试复制对象的句柄
4691 ----- 请求间接访问对象
4692 ----- 尝试备份数据保护主密钥
4693 ----- 尝试恢复数据保护主密钥
4694 ----- 试图保护可审计的受保护数据
4695 ----- 尝试不受保护的可审计受保护数据
4696 ----- 主要令牌已分配给进程
4697 ----- 系统中安装了一项服务
4698 ----- 已创建计划任务
4699 ----- 计划任务已删除
4700 ----- 已启用计划任务
4701 ----- 计划任务已禁用
4702 ----- 计划任务已更新
4703 ----- 令牌权已经调整
4704 ----- 已分配用户权限
4705 ----- 用户权限已被删除
4706 ----- 为域创建了新的信任
4707 ----- 已删除对域的信任
4709 ----- IPsec服务已启动
4710 ----- IPsec服务已禁用
4711 ----- PAStore引擎(1%)
4712 ----- IPsec服务遇到了潜在的严重故障
4713 ----- Kerberos策略已更改
4714 ----- 加密数据恢复策略已更改
4715 ----- 对象的审核策略(SACL)已更改
4716 ----- 可信域信息已被修改
4717 ----- 系统安全访问权限已授予帐户
4718 ----- 系统安全访问已从帐户中删除
4719 ----- 系统审核策略已更改
4720 ----- 已创建用户帐户
4722 ----- 用户帐户已启用
4723 ----- 尝试更改帐户的密码
4724 ----- 尝试重置帐户密码
4725 ----- 用户帐户已被禁用
4726 ----- 用户帐户已删除
4727 ----- 已创建启用安全性的全局组
4728 ----- 已将成员添加到启用安全性的全局组中
4729 ----- 成员已从启用安全性的全局组中删除
4730 ----- 已删除启用安全性的全局组
4731 ----- 已创建启用安全性的本地组
4732 ----- 已将成员添加到启用安全性的本地组
4733 ----- 成员已从启用安全性的本地组中删除
4734 ----- 已删除已启用安全性的本地组
4735 ----- 已启用安全性的本地组已更改
4737 ----- 启用安全性的全局组已更改
4738 ----- 用户帐户已更改
4739 ----- 域策略已更改
4740 ----- 用户帐户已被锁定
4741 ----- 已创建计算机帐户
4742 ----- 计算机帐户已更改
4743 ----- 计算机帐户已删除
4744 ----- 已创建禁用安全性的本地组
4745 ----- 已禁用安全性的本地组已更改
4746 ----- 已将成员添加到已禁用安全性的本地组
4747 ----- 已从安全性已禁用的本地组中删除成员
4748 ----- 已删除安全性已禁用的本地组
4749 ----- 已创建一个禁用安全性的全局组
4750 ----- 已禁用安全性的全局组已更改
4751 ----- 已将成员添加到已禁用安全性的全局组中
4752 ----- 成员已从禁用安全性的全局组中删除
4753 ----- 已删除安全性已禁用的全局组
4754 ----- 已创建启用安全性的通用组
4755 ----- 启用安全性的通用组已更改
4756 ----- 已将成员添加到启用安全性的通用组中
4757 ----- 成员已从启用安全性的通用组中删除
4758 ----- 已删除启用安全性的通用组
4759 ----- 创建了一个安全禁用的通用组
4760 ----- 安全性已禁用的通用组已更改
4761 ----- 已将成员添加到已禁用安全性的通用组中
4762 ----- 成员已从禁用安全性的通用组中删除
4763 ----- 已删除安全性已禁用的通用组
4764 ----- 组类型已更改
4765 ----- SID历史记录已添加到帐户中
4766 ----- 尝试将SID历史记录添加到帐户失败
4767 ----- 用户帐户已解锁
4768 ----- 请求了Kerberos身份验证票证(TGT)
4769 ----- 请求了Kerberos服务票证
4770 ----- 更新了Kerberos服务票证
4771 ----- Kerberos预身份验证失败
4772 ----- Kerberos身份验证票证请求失败
4773 ----- Kerberos服务票证请求失败
4774 ----- 已映射帐户以进行登录
4775 ----- 无法映射帐户以进行登录
4776 ----- 域控制器尝试验证帐户的凭据
4777 ----- 域控制器无法验证帐户的凭据
4778 ----- 会话重新连接到Window Station
4779 ----- 会话已与Window Station断开连接
4780 ----- ACL是在作为管理员组成员的帐户上设置的
4781 ----- 帐户名称已更改
4782 ----- 密码哈希帐户被访问
4783 ----- 创建了一个基本应用程序组
4784 ----- 基本应用程序组已更改
4785 ----- 成员已添加到基本应用程序组
4786 ----- 成员已从基本应用程序组中删除
4787 ----- 非成员已添加到基本应用程序组
4788 ----- 从基本应用程序组中删除了非成员。
4789 ----- 基本应用程序组已删除
4790 ----- 已创建LDAP查询组
4791 ----- 基本应用程序组已更改
4792 ----- LDAP查询组已删除
4793 ----- 密码策略检查API已被调用
4794 ----- 尝试设置目录服务还原模式管理员密码
4797 ----- 试图查询帐户是否存在空白密码
4798 ----- 枚举了用户的本地组成员身份。
4799 ----- 已枚举启用安全性的本地组成员身份
4800 ----- 工作站已锁定
4801 ----- 工作站已解锁
4802 ----- 屏幕保护程序被调用
4803 ----- 屏幕保护程序被解雇了
4816 ----- RPC在解密传入消息时检测到完整性违规
4817 ----- 对象的审核设置已更改。
4818 ----- 建议的中央访问策略不授予与当前中央访问策略相同的访问权限
4819 ----- 计算机上的中央访问策略已更改
4820 ----- Kerberos票证授予票证(TGT)被拒绝,因为该设备不符合访问控制限制
4821 ----- Kerberos服务票证被拒绝,因为用户,设备或两者都不符合访问控制限制
4822 ----- NTLM身份验证失败,因为该帐户是受保护用户组的成员
4823 ----- NTLM身份验证失败,因为需要访问控制限制
4824 ----- 使用DES或RC4进行Kerberos预身份验证失败,因为该帐户是受保护用户组的成员
4825 ----- 用户被拒绝访问远程桌面。默认情况下,仅当用户是RemoteDesktop Users组或Administrators组的成员时才允许用户进行连接
4826 ----- 加载引导配置数据
4830 ----- SID历史记录已从帐户中删除
4864 ----- 检测到名称空间冲突
4865 ----- 添加了受信任的林信息条目
4866 ----- 已删除受信任的林信息条目
4867 ----- 已修改受信任的林信息条目
4868 ----- 证书管理器拒绝了挂起的证书请求
4869 ----- 证书服务收到重新提交的证书请求
4870 ----- 证书服务撤销了证书
4871 ----- 证书服务收到发布证书吊销列表(CRL)的请求
4872 ----- 证书服务发布证书吊销列表(CRL)
4873 ----- 证书申请延期已更改
4874 ----- 一个或多个证书请求属性已更改。
4875 ----- 证书服务收到关闭请求
4876 ----- 证书服务备份已启动
4877 ----- 证书服务备份已完成
4878 ----- 证书服务还原已开始
4879 ----- 证书服务恢复已完成
4880 ----- 证书服务已启动
4881 ----- 证书服务已停止
4882 ----- 证书服务的安全权限已更改
4883 ----- 证书服务检索到存档密钥
4884 ----- 证书服务将证书导入其数据库
4885 ----- 证书服务的审核筛选器已更改
4886 ----- 证书服务收到证书请求
4887 ----- 证书服务批准了证书请求并颁发了证书
4888 ----- 证书服务拒绝了证书请求
4889 ----- 证书服务将证书请求的状态设置为挂起
4890 ----- 证书服务的证书管理器设置已更改。
4891 ----- 证书服务中的配置条目已更改
4892 ----- 证书服务的属性已更改
4893 ----- 证书服务存档密钥
4894 ----- 证书服务导入并存档了一个密钥
4895 ----- 证书服务将CA证书发布到Active Directory域服务
4896 ----- 已从证书数据库中删除一行或多行
4897 ----- 启用角色分离
4898 ----- 证书服务加载了一个模板
4899 ----- 证书服务模板已更新
4900 ----- 证书服务模板安全性已更新
4902 ----- 已创建每用户审核策略表
4904 ----- 尝试注册安全事件源
4905 ----- 尝试取消注册安全事件源
4906 ----- CrashOnAuditFail值已更改
4907 ----- 对象的审核设置已更改
4908 ----- 特殊组登录表已修改
4909 ----- TBS的本地策略设置已更改
4910 ----- TBS的组策略设置已更改
4911 ----- 对象的资源属性已更改
4912 ----- 每用户审核策略已更改
4913 ----- 对象的中央访问策略已更改
4928 ----- 建立了Active Directory副本源命名上下文
4929 ----- 已删除Active Directory副本源命名上下文
4930 ----- 已修改Active Directory副本源命名上下文
4931 ----- 已修改Active Directory副本目标命名上下文
4932 ----- 已开始同步Active Directory命名上下文的副本
4933 ----- Active Directory命名上下文的副本的同步已结束
4934 ----- 已复制Active Directory对象的属性
4935 ----- 复制失败开始
4936 ----- 复制失败结束
4937 ----- 从副本中删除了一个延迟对象
4944 ----- Windows防火墙启动时,以下策略处于活动状态
4945 ----- Windows防火墙启动时列出了规则
4946 ----- 已对Windows防火墙例外列表进行了更改。增加了一条规则
4947 ----- 已对Windows防火墙例外列表进行了更改。规则被修改了
4948 ----- 已对Windows防火墙例外列表进行了更改。规则已删除
4949 ----- Windows防火墙设置已恢复为默认值
4950 ----- Windows防火墙设置已更改
4951 ----- 规则已被忽略,因为Windows防火墙无法识别其主要版本号
4952 ----- 已忽略规则的某些部分,因为Windows防火墙无法识别其次要版本号
4953 ----- Windows防火墙已忽略规则,因为它无法解析规则
4954 ----- Windows防火墙组策略设置已更改。已应用新设置
4956 ----- Windows防火墙已更改活动配置文件
4957 ----- Windows防火墙未应用以下规则
4958 ----- Windows防火墙未应用以下规则,因为该规则引用了此计算机上未配置的项目
4960 ----- IPsec丢弃了未通过完整性检查的入站数据包
4961 ----- IPsec丢弃了重放检查失败的入站数据包
4962 ----- IPsec丢弃了重放检查失败的入站数据包
4963 ----- IPsec丢弃了应该受到保护的入站明文数据包
4964 ----- 特殊组已分配给新登录
4965 ----- IPsec从远程计算机收到一个包含不正确的安全参数索引(SPI)的数据包。
4976 ----- 在主模式协商期间,IPsec收到无效的协商数据包。
4977 ----- 在快速模式协商期间,IPsec收到无效的协商数据包。
4978 ----- 在扩展模式协商期间,IPsec收到无效的协商数据包。
4979 ----- 建立了IPsec主模式和扩展模式安全关联。
4980 ----- 建立了IPsec主模式和扩展模式安全关联
4981 ----- 建立了IPsec主模式和扩展模式安全关联
4982 ----- 建立了IPsec主模式和扩展模式安全关联
4983 ----- IPsec扩展模式协商失败
4984 ----- IPsec扩展模式协商失败
4985 ----- 交易状态已发生变化
5024 ----- Windows防火墙服务已成功启动
5025 ----- Windows防火墙服务已停止
5027 ----- Windows防火墙服务无法从本地存储中检索安全策略
5028 ----- Windows防火墙服务无法解析新的安全策略。
5029 ----- Windows防火墙服务无法初始化驱动程序
5030 ----- Windows防火墙服务无法启动
5031 ----- Windows防火墙服务阻止应用程序接受网络上的传入连接。
5032 ----- Windows防火墙无法通知用户它阻止应用程序接受网络上的传入连接
5033 ----- Windows防火墙驱动程序已成功启动
5034 ----- Windows防火墙驱动程序已停止
5035 ----- Windows防火墙驱动程序无法启动
5037 ----- Windows防火墙驱动程序检测到严重的运行时错 终止
5038 ----- 代码完整性确定文件的图像哈希无效
5039 ----- 注册表项已虚拟化。
5040 ----- 已对IPsec设置进行了更改。添加了身份验证集。
5041 ----- 已对IPsec设置进行了更改。身份验证集已修改
5042 ----- 已对IPsec设置进行了更改。身份验证集已删除
5043 ----- 已对IPsec设置进行了更改。添加了连接安全规则
5044 ----- 已对IPsec设置进行了更改。连接安全规则已修改
5045 ----- 已对IPsec设置进行了更改。连接安全规则已删除
5046 ----- 已对IPsec设置进行了更改。添加了加密集
5047 ----- 已对IPsec设置进行了更改。加密集已被修改
5048 ----- 已对IPsec设置进行了更改。加密集已删除
5049 ----- IPsec安全关联已删除
5050 ----- 尝试使用对INetFwProfile.FirewallEnabled的调用以编程方式禁用Windows防火墙(FALSE
5051 ----- 文件已虚拟化
5056 ----- 进行了密码自检
5057 ----- 加密原语操作失败
5058 ----- 密钥文件操作
5059 ----- 密钥迁移操作
5060 ----- 验证操作失败
5061 ----- 加密操作
5062 ----- 进行了内核模式加密自检
5063 ----- 尝试了加密提供程序操作
5064 ----- 尝试了加密上下文操作
5065 ----- 尝试了加密上下文修改
5066 ----- 尝试了加密功能操作
5067 ----- 尝试了加密功能修改
5068 ----- 尝试了加密函数提供程序操作
5069 ----- 尝试了加密函数属性操作
5070 ----- 尝试了加密函数属性操作
5071 ----- Microsoft密钥分发服务拒绝密钥访问
5120 ----- OCSP响应程序服务已启动
5121 ----- OCSP响应程序服务已停止
5122 ----- OCSP响应程序服务中的配置条目已更改
5123 ----- OCSP响应程序服务中的配置条目已更改
5124 ----- 在OCSP Responder Service上更新了安全设置
5125 ----- 请求已提交给OCSP Responder Service
5126 ----- 签名证书由OCSP Responder Service自动更新
5127 ----- OCSP吊销提供商成功更新了吊销信息
5136 ----- 目录服务对象已修改
5137 ----- 已创建目录服务对象
5138 ----- 目录服务对象已取消删除
5139 ----- 已移动目录服务对象
5140 ----- 访问了网络共享对象
5141 ----- 目录服务对象已删除
5142 ----- 添加了网络共享对象。
5143 ----- 网络共享对象已被修改
5144 ----- 网络共享对象已删除。
5145 ----- 检查网络共享对象以查看是否可以向客户端授予所需的访问权限
5146 ----- Windows筛选平台已阻止数据包
5147 ----- 限制性更强的Windows筛选平台筛选器阻止了数据包
5148 ----- Windows过滤平台检测到DoS攻击并进入防御模式; 与此攻击相关的数据包将被丢弃。
5149 ----- DoS攻击已经消退,正常处理正在恢复。
5150 ----- Windows筛选平台已阻止数据包。
5151 ----- 限制性更强的Windows筛选平台筛选器阻止了数据包。
5152 ----- Windows筛选平台阻止了数据包
5153 ----- 限制性更强的Windows筛选平台筛选器阻止了数据包
5154 ----- Windows过滤平台允许应用程序或服务在端口上侦听传入连接
5155 ----- Windows筛选平台已阻止应用程序或服务侦听端口上的传入连接
5156 ----- Windows筛选平台允许连接
5157 ----- Windows筛选平台已阻止连接
5158 ----- Windows筛选平台允许绑定到本地端口
5159 ----- Windows筛选平台已阻止绑定到本地端口
5168 ----- SMB / SMB2的Spn检查失败。
5169 ----- 目录服务对象已修改
5170 ----- 在后台清理任务期间修改了目录服务对象
5376 ----- 已备份凭据管理器凭据
5377 ----- Credential Manager凭据已从备份还原
5378 ----- 策略不允许请求的凭据委派
5440 ----- Windows筛选平台基本筛选引擎启动时出现以下callout
5441 ----- Windows筛选平台基本筛选引擎启动时存在以下筛选器
5442 ----- Windows筛选平台基本筛选引擎启动时,存在以下提供程序
5443 ----- Windows筛选平台基本筛选引擎启动时,存在以下提供程序上下文
5444 ----- Windows筛选平台基本筛选引擎启动时,存在以下子层
5446 ----- Windows筛选平台标注已更改
5447 ----- Windows筛选平台筛选器已更改
5448 ----- Windows筛选平台提供程序已更改
5449 ----- Windows筛选平台提供程序上下文已更改
5450 ----- Windows筛选平台子层已更改
5451 ----- 建立了IPsec快速模式安全关联
5452 ----- IPsec快速模式安全关联已结束
5453 ----- 与远程计算机的IPsec协商失败,因为未启动IKE和AuthIP IPsec密钥模块(IKEEXT)服务
5456 ----- PAStore引擎在计算机上应用了Active Directory存储IPsec策略
5457 ----- PAStore引擎无法在计算机上应用Active Directory存储IPsec策略
5458 ----- PAStore引擎在计算机上应用了Active Directory存储IPsec策略的本地缓存副本
5459 ----- PAStore引擎无法在计算机上应用Active Directory存储IPsec策略的本地缓存副本
5460 ----- PAStore引擎在计算机上应用了本地注册表存储IPsec策略
5461 ----- PAStore引擎无法在计算机上应用本地注册表存储IPsec策略
5462 ----- PAStore引擎无法在计算机上应用某些活动IPsec策略规则
5463 ----- PAStore引擎轮询活动IPsec策略的更改并检测不到任何更改
5464 ----- PAStore引擎轮询活动IPsec策略的更改,检测到更改并将其应用于IPsec服务
5465 ----- PAStore Engine收到强制重新加载IPsec策略的控件并成功处理控件
5466 ----- PAStore引擎轮询Active Directory IPsec策略的更改,确定无法访问Active Directory,并将使用Active Directory
IPsec策略的缓存副本
5467 ----- PAStore引擎轮询Active Directory IPsec策略的更改,确定可以访问Active Directory,并且未找到对策略的更改
5468 ----- PAStore引擎轮询Active Directory IPsec策略的更改,确定可以访问Active Directory,找到策略更改并应用这些更改
5471 ----- PAStore引擎在计算机上加载了本地存储IPsec策略
5472 ----- PAStore引擎无法在计算机上加载本地存储IPsec策略
5473 ----- PAStore引擎在计算机上加载了目录存储IPsec策略
5474 ----- PAStore引擎无法在计算机上加载目录存储IPsec策略
5477 ----- PAStore引擎无法添加快速模式过滤器
5478 ----- IPsec服务已成功启动
5479 ----- IPsec服务已成功关闭
5480 ----- IPsec服务无法获取计算机上的完整网络接口列表
5483 ----- IPsec服务无法初始化RPC服务器。无法启动IPsec服务
5484 ----- IPsec服务遇到严重故障并已关闭
5485 ----- IPsec服务无法在网络接口的即插即用事件上处理某些IPsec筛选器
5632 ----- 已请求对无线网络进行身份验证
5633 ----- 已请求对有线网络进行身份验证
5712 ----- 尝试了远程过程调用(RPC)
5888 ----- COM +目录中的对象已被修改
5889 ----- 从COM +目录中删除了一个对象
5890 ----- 一个对象已添加到COM +目录中
6144 ----- 组策略对象中的安全策略已成功应用
6145 ----- 处理组策略对象中的安全策略时发生一个或多个错误
6272 ----- 网络策略服务器授予用户访问权限
6273 ----- 网络策略服务器拒绝访问用户
6274 ----- 网络策略服务器放弃了对用户的请求
6275 ----- 网络策略服务器放弃了用户的记帐请求
6276 ----- 网络策略服务器隔离了用户
6277 ----- 网络策略服务器授予用户访问权限,但由于主机未满足定义的健康策略而将其置于试用期
6278 ----- 网络策略服务器授予用户完全访问权限,因为主机符合定义的健康策略
6279 ----- 由于重复失败的身份验证尝试,网络策略服务器锁定了用户帐户
6280 ----- 网络策略服务器解锁了用户帐户
6281 ----- 代码完整性确定图像文件的页面哈希值无效...6400 ----- BranchCache:在发现内容可用性时收到格式错误的响应。
6401 ----- BranchCache:从对等方收到无效数据。数据被丢弃。
6402 ----- BranchCache:提供数据的托管缓存的消息格式不正确。
6403 ----- BranchCache:托管缓存发送了对客户端消息的错误格式化响应以提供数据。
6404 ----- BranchCache:无法使用配置的SSL证书对托管缓存进行身份验证。
6405 ----- BranchCache:发生了事件ID%1的%2个实例。
6406 ----- %1注册到Windows防火墙以控制以下过滤:
6408 ----- 已注册的产品%1失败,Windows防火墙现在正在控制%2的过滤。
6409 ----- BranchCache:无法解析服务连接点对象
6410 ----- 代码完整性确定文件不满足加载到进程中的安全性要求。这可能是由于使用共享部分或其他问题
6416 ----- 系统识别出新的外部设备。
6417 ----- FIPS模式加密自检成功
6418 ----- FIPS模式加密自检失败
6419 ----- 发出了禁用设备的请求
6420 ----- 设备已禁用
6421 ----- 已发出请求以启用设备
6422 ----- 设备已启用
6423 ----- 系统策略禁止安装此设备
6424 ----- 在事先被政策禁止之后,允许安装此设备
8191 ----- 最高系统定义的审计消息值
|
0X05 病毒木马检测工具
病毒分析
PCHunter:http:
火绒剑:https:
Process Explorer:https:
processhacker:https:
autoruns:https:
OTL:https:
SysInspector:http:
病毒查杀
卡巴斯基:http:
大蜘蛛:http:
火绒安全软件:https:
360杀毒:http:
病毒动态
CVERC-国家计算机病毒应急处理中心:http:
微步在线威胁情报社区:https:
火绒安全论坛:http:
爱毒霸社区:http:
腾讯电脑管家:http:
在线病毒扫描网站
Virustotal:https:
Virscan:http:
腾讯哈勃分析系统:https:
Jotti 恶意软件扫描系统:https:
webshell查杀
D盾_Web查杀:http:
河马 WebShell 查杀:http:
![系统关键位置排查(Windows)]( "系统关键位置排查(Windows)")
原文始发于微信公众号(朱厌安全团队):系统关键位置排查(Windows)
评论