目录

应急响应流程：1.响应、保护：2.阻断：3.分析排查：(1)痕迹分析：(2)行为分析：(3)对已知漏洞排查(4)查看系统基本信息：(5)异常连接排查：(6)异常进程排查：(7)异常账号排查：(8)异常文件分析：(9)启动项排查:(10)计划任务(11)日志排查蠕虫病毒：网页篡改：勒索病毒：挖矿病毒：0day排查并获取漏洞pork钓鱼邮件应急响应安全事件ID汇总备查：

应急响应流程：

1.响应、保护：

查看事件类型、保护第一现场、了解情况（什么操作系统、之前有没有类似的状况）

2.阻断：

切断网络、阻断传播、隔离核心资产

3.分析排查：

(1)痕迹分析：

日志、流量、样本

(2)行为分析：

试着还原攻击流程

(3)对已知漏洞排查

(4)查看系统基本信息：

windows查看补丁信息、linux查看系统arp表uname -a

(5)异常连接排查：

Windows下用netstat -ano|findstr ESTABLISH查看可疑的进程；Linux下用lsof -i列出所有的tcp和udp进程，列出所有的端口及进程用netstat -antlp

(6)异常进程排查：

windows：命令tasklist|findstr<key>列出本地或计算机上所有进程，再用wmic process|findstr “”查看进程路径；linux用ps -aux显示进程相关信息，用top显示内存和cpu，对某个进程进行查找ps -ef|grep

Linux查看隐藏进程 : ps -ef 、top -a、losf -i

(7)异常账号排查：

windows下用lusrmgr.msc显示用户组和账户；linux用w查看utmp日志，last查看历史登录记录，lastlog查看用户最后登录时间，lastb显示用户错误登录记录，删除用户

usermod -L user

utmp：记录有关当前登录进入系统的各个用户的信息。

w命令用来查询utmp文件并显示当前系统中每个用户和它所运行的进程信息；

wtmp：登录、退出的记录。

执行last命令可以往回搜索wtmp来显示自从文件第一次创建以来登录过的用户

/etc/passwd 存账户信息一般不存密码 、 包含系统用户和用户的主要信息

/etc/shadow 用于储存系统中用户的密码，又称为影子文件

(8)异常文件分析：

windows：%UserProfile%Recent查看recent相关文件，分析最近被打开的可疑文件；

linux：stat etc/passwd分析文件日期，find ./ mtime 0 -name “*.php" 查看24小时内的被修改的php文件，ls -alt /tmp/查看敏感目录文件

(9)启动项排查:

windows:msconfig查看启动项

linux：more /etc/rc.local文件

(10)计划任务

windows：taskschd.msc查看计算任务

linux：crontab -l

(11)日志排查

linux下的ssh日志查看/var/log/sshd.log

/var/log/secure — 包含验证和授权方面信息。例如，sshd会将所有信息记录（其中包括失败登录）在这里

1. /var/log/messages — 包括整体系统信息，其中也包含系统启动期间的日志。此外，mail，cron，daemon，kern和auth等内容也记录在var/log/messages日志中

2. /var/log/dmesg — 包含内核缓冲信息（kernel ring buffer）。在系统启动时，会在屏幕上显示许多与硬件有关的信息。可以用dmesg查看它们。

4. /var/log/boot.log — 包含系统启动时的日志

5. /var/log/daemon.log — 包含各种系统后台守护进程日志信息。

6. /var/log/dpkg.log – 包括安装或dpkg命令清除软件包的日志。

7. /var/log/kern.log – 包含内核产生的日志，有助于在定制内核时解决问题。

8. /var/log/lastlog — 记录所有用户的最近信息。这不是一个ASCII文件，因此需要用lastlog命令查看内容

9. /var/log/maillog /var/log/mail.log — 包含来着系统运行电子邮件服务器的日志信息

0. /var/log/user.log — 记录所有等级用户信息的日志。

11. /var/log/Xorg.x.log — 来自X的日志信息。

12. /var/log/alternatives.log – 更新替代信息都记录在这个文件中。

13. /var/log/btmp – 记录所有失败登录信息。使用last命令可以查看btmp文件。例如，”last -f /var/log/btmp | more“。

14. /var/log/cups — 涉及所有打印信息的日志。

15. /var/log/anaconda.log — 在安装Linux时，所有安装信息都储存在这个文件中

16. /var/log/yum.log — 包含使用yum安装的软件包信息

17. /var/log/cron — 每当cron进程开始一个工作时，就会将相关信息记录在这个文件中

18. /var/log/secure — 包含验证和授权方面信息

19. /var/log/wtmp或/var/log/utmp — 包含登录信息。使用wtmp可以找出谁正在登陆进入系统，谁使用命令显示这个文件或信息等。

20. /var/log/faillog – 包含用户登录失败信息

/var/log/lighttpd/ — 包含light HTTPD的access_log和error_log。

/var/log/mail/ – 这个子目录包含邮件服务器的额外日志。

/var/log/prelink/ — 包含.so文件被prelink修改的信息。

/var/log/audit/ — 包含被 Linux audit daemon储存的信息。

/var/log/samba/ – 包含由samba存储的信息。

/var/log/sa/ — 包含每日由sysstat软件包收集的sar文件。

/var/log/sssd/ – 用于守护进程安全服务

4.清除

5.加固

常见病毒的应急响应

蠕虫病毒：

定义：一种自包含的程序，每入侵到新的计算机就会进行复制自身并执行

特点：服务器不断向外网发起主动连接等

应急响应：

1.将感染病毒的主机从内网隔离

2.使用D盾协助查杀端口连接情况，通过端口异常跟踪进程ID

3.全盘扫描，定位异常文件

4.使用多引擎在线病毒对异常文件扫描，查看感染哪种蠕虫病毒

5.关闭异常端口、清除文件、使用专用病毒工具对服务器进行清查

网页篡改：

类型：明显篡改、隐藏式

原理：明显的网页篡改即攻击者可炫耀自己的技术技巧，或表明自己的观点，如之前的某中学官网被黑事件；隐藏式篡改一般是将被攻击网站的网页植入链接色情、诈骗等非法信息的链接中，以通过灰黑色产业牟取非法经济利益。

应急响应：

1.查找近段时间内被篡改的文件或者新增的文件，查看被篡改文件或新增文件的最后修改时间，确定是否为自己修改或新增

2.打开被篡改的文件，检查里面有无新增恶意代码或被篡改了其他内容

3.如果被篡改文件没被修改，就说明可能被篡改的内容被注入数据库中，网站有注入漏洞，先把注入漏洞补上，在把被注入到数据库的内容清除

勒索病毒：

原理：勒索病毒，是一种伴随数字货币兴起的病毒木马，主要以邮件、程序木马、网页挂马的形式进行传播。这种病毒利用各种加密算法对文件进行加密，勒索病毒一般利用非对称加密算法和对称加密算法组合的形式对受害者文件进行加密。

特点：中毒的业务系统无法访问、文件后缀被篡改、勒索信展示等

应急响应：

1.隔离被感染的服务器/主机

2.排查业务系统

3.利用留下的勒索信息，确定勒索病毒的种类，再进行溯源分析

4.处置勒索病毒：

1.异常文件检查并清除

2.补丁检查，没补丁打补丁

3.对账号进行排查，删除可疑账号

4.异常进程、连接排查，杀掉可疑进程，断开异常连接

5.计划任务排查

6.对网络流量进行排查

5.清除加固加安全设备

挖矿病毒：

特点：利用感染主机与挖矿域名连接进行挖矿，感染主机出现主机卡顿和CPU占用高等现象

应急响应：

1.隔离主机，阻断传播

2. top命令查看CPU占用 ，查看CPU占用较高的进程

3. 通过PID获得对应进程目录和进程， 定位进程目录或文件

4. 通过沙箱分析文件，确定病毒种类和病毒行为

5.对异常文件进行分析

6. 排查计划任务

7. 排查ssh公钥

8. 通过/etc/rc.local排查主机启动项

9.排查账户

10. 查看主机日志

11. 查看定时任务

12.清除加固

0day排查并获取漏洞pork

首先，需要了解0day漏洞的定义和特征。0day漏洞是指尚未公开或被修复的安全漏洞，因此攻击者可以利用这些漏洞来进行攻击。通常情况下，0day攻击会产生异常流量。

以下是排查0day流量的步骤：

1. 使用网络监控工具：使用网络监控工具（如Wireshark、TCPDump等）来捕获网络流量，并检查是否有异常流量或未知协议。

2. 分析可疑IP地址：分析可疑IP地址并确定其来源。如果这些IP地址不是您公司的合法用户或服务，则可能存在恶意行为。

3. 检查应用程序日志：检查应用程序日志以获取有关任何异常活动的信息。例如，是否有大量错误登录尝试、SQL注入尝试等。

4. 分析系统文件：分析系统文件以确定是否存在任何未知文件、非法访问等迹象。

5. 升级补丁和更新软件版本：定期升级

钓鱼邮件应急响应

1.发现为钓鱼邮件的话，先对钓鱼邮件进行隔离，避免错误操作或者传播

2.如果点击了钓鱼邮件里的链接的话，将受害主机进行断网关机处理，如果有主机安全管理设备，对所有主机资产进行病毒查杀，对系统和安全设备进行安全扫描

3.如果有人在钓鱼邮件里提交了密码之类的敏感信息，立刻提醒并修改密码

4.对账号活动进行排查，定期监控账号活动，如果有账号进行异常活动，立即对该账号进行关闭或冻住

5.更新安全软件和系统：确保你的操作系统、防病病毒软件和防火墙等安全软件处于最新状态，以得到最新的安全完全保护和漏洞修复。

6.检查安全措施：检查你的组织的安全措施，包括邮件过滤、反钓鱼培训和安全策略等。确保它们是有效的并能足够防范范未来的钓鱼攻击

windows安全事件查看及安全事件id汇总

常用安全事件ID:

系统：

1074，通过这个事件ID查看计算机的开机、关机、重启的时间以及原因和注释。

6005，表示计算机日志服务已启动，如果出现了事件ID为6005，则表示这天正常启动了系统。

104，这个时间ID记录所有审计日志清除事件，当有日志被清除时，出现此事件ID。

安全：

4624，这个事件ID表示成功登陆的用户，用来筛选该系统的用户登陆成功情况。

4625，这个事件ID表示登陆失败的用户。

4720,4722,4723,4724,4725,4726,4738,4740,事件ID表示当用户帐号发生创建，删除，改变密码时的事件记录。

4727,4737,4739,4762,事件ID表示当用户组发生添加、删除时或组内添加成员时生成该事件。

安全事件ID汇总备查：

EVENT_ID 安全事件信息

1100 ----- 事件记录服务已关闭

1101 ----- 审计事件已被运输中断。

1102 ----- 审核日志已清除

1104 ----- 安全日志现已满

1105 ----- 事件日志自动备份

1108 ----- 事件日志记录服务遇到错误

4608 ----- Windows正在启动

4609 ----- Windows正在关闭

4610 ----- 本地安全机构已加载身份验证包

4611 ----- 已向本地安全机构注册了受信任的登录进程

4612 ----- 为审计消息排队分配的内部资源已经用尽，导致一些审计丢失。

4614 ----- 安全帐户管理器已加载通知包。

4615 ----- LPC端口使用无效

4616 ----- 系统时间已更改。

4618 ----- 已发生受监视的安全事件模式

4621 ----- 管理员从CrashOnAuditFail恢复了系统

4622 ----- 本地安全机构已加载安全包。

4624 ----- 帐户已成功登录

4625 ----- 帐户无法登录

4626 ----- 用户/设备声明信息

4627 ----- 集团会员信息。

4634 ----- 帐户已注销

4646 ----- IKE DoS防护模式已启动

4647 ----- 用户启动了注销

4648 ----- 使用显式凭据尝试登录

4649 ----- 检测到重播攻击

4650 ----- 建立了IPsec主模式安全关联

4651 ----- 建立了IPsec主模式安全关联

4652 ----- IPsec主模式协商失败

4653 ----- IPsec主模式协商失败

4654 ----- IPsec快速模式协商失败

4655 ----- IPsec主模式安全关联已结束

4656 ----- 请求了对象的句柄

4657 ----- 注册表值已修改

4658 ----- 对象的句柄已关闭

4659 ----- 请求删除对象的句柄

4660 ----- 对象已删除

4661 ----- 请求了对象的句柄

4662 ----- 对对象执行了操作

4663 ----- 尝试访问对象

4664 ----- 试图创建一个硬链接

4665 ----- 尝试创建应用程序客户端上下文。

4666 ----- 应用程序尝试了一个操作

4667 ----- 应用程序客户端上下文已删除

4668 ----- 应用程序已初始化

4670 ----- 对象的权限已更改

4671 ----- 应用程序试图通过TBS访问被阻止的序号

4672 ----- 分配给新登录的特权

4673 ----- 特权服务被召唤

4674 ----- 尝试对特权对象执行操作

4675 ----- SID被过滤掉了

4688 ----- 已经创建了一个新流程

4689 ----- 一个过程已经退出

4690 ----- 尝试复制对象的句柄

4691 ----- 请求间接访问对象

4692 ----- 尝试备份数据保护主密钥

4693 ----- 尝试恢复数据保护主密钥

4694 ----- 试图保护可审计的受保护数据

4695 ----- 尝试不受保护的可审计受保护数据

4696 ----- 主要令牌已分配给进程

4697 ----- 系统中安装了一项服务

4698 ----- 已创建计划任务

4699 ----- 计划任务已删除

4700 ----- 已启用计划任务

4701 ----- 计划任务已禁用

4702 ----- 计划任务已更新

4703 ----- 令牌权已经调整

4704 ----- 已分配用户权限

4705 ----- 用户权限已被删除

4706 ----- 为域创建了新的信任

4707 ----- 已删除对域的信任

4709 ----- IPsec服务已启动

4710 ----- IPsec服务已禁用

4711 ----- PAStore引擎（1％）

4712 ----- IPsec服务遇到了潜在的严重故障

4713 ----- Kerberos策略已更改

4714 ----- 加密数据恢复策略已更改

4715 ----- 对象的审核策略（SACL）已更改

4716 ----- 可信域信息已被修改

4717 ----- 系统安全访问权限已授予帐户

4718 ----- 系统安全访问已从帐户中删除

4719 ----- 系统审核策略已更改

4720 ----- 已创建用户帐户

4722 ----- 用户帐户已启用

4723 ----- 尝试更改帐户的密码

4724 ----- 尝试重置帐户密码

4725 ----- 用户帐户已被禁用

4726 ----- 用户帐户已删除

4727 ----- 已创建启用安全性的全局组

4728 ----- 已将成员添加到启用安全性的全局组中

4729 ----- 成员已从启用安全性的全局组中删除

4730 ----- 已删除启用安全性的全局组

4731 ----- 已创建启用安全性的本地组

4732 ----- 已将成员添加到启用安全性的本地组

4733 ----- 成员已从启用安全性的本地组中删除

4734 ----- 已删除已启用安全性的本地组

4735 ----- 已启用安全性的本地组已更改

4737 ----- 启用安全性的全局组已更改

4738 ----- 用户帐户已更改

4739 ----- 域策略已更改

4740 ----- 用户帐户已被锁定

4741 ----- 已创建计算机帐户

4742 ----- 计算机帐户已更改

4743 ----- 计算机帐户已删除

4744 ----- 已创建禁用安全性的本地组

4745 ----- 已禁用安全性的本地组已更改

4746 ----- 已将成员添加到已禁用安全性的本地组

4747 ----- 已从安全性已禁用的本地组中删除成员

4748 ----- 已删除安全性已禁用的本地组

4749 ----- 已创建一个禁用安全性的全局组

4750 ----- 已禁用安全性的全局组已更改

4751 ----- 已将成员添加到已禁用安全性的全局组中

4752 ----- 成员已从禁用安全性的全局组中删除

4753 ----- 已删除安全性已禁用的全局组

4754 ----- 已创建启用安全性的通用组

4755 ----- 启用安全性的通用组已更改

4756 ----- 已将成员添加到启用安全性的通用组中

4757 ----- 成员已从启用安全性的通用组中删除

4758 ----- 已删除启用安全性的通用组

4759 ----- 创建了一个安全禁用的通用组

4760 ----- 安全性已禁用的通用组已更改

4761 ----- 已将成员添加到已禁用安全性的通用组中

4762 ----- 成员已从禁用安全性的通用组中删除

4763 ----- 已删除安全性已禁用的通用组

4764 ----- 组类型已更改

4765 ----- SID历史记录已添加到帐户中

4766 ----- 尝试将SID历史记录添加到帐户失败

4767 ----- 用户帐户已解锁

4768 ----- 请求了Kerberos身份验证票证（TGT）

4769 ----- 请求了Kerberos服务票证

4770 ----- 更新了Kerberos服务票证

4771 ----- Kerberos预身份验证失败

4772 ----- Kerberos身份验证票证请求失败

4773 ----- Kerberos服务票证请求失败

4774 ----- 已映射帐户以进行登录

4775 ----- 无法映射帐户以进行登录

4776 ----- 域控制器尝试验证帐户的凭据

4777 ----- 域控制器无法验证帐户的凭据

4778 ----- 会话重新连接到Window Station

4779 ----- 会话已与Window Station断开连接

4780 ----- ACL是在作为管理员组成员的帐户上设置的

4781 ----- 帐户名称已更改

4782 ----- 密码哈希帐户被访问

4783 ----- 创建了一个基本应用程序组

4784 ----- 基本应用程序组已更改

4785 ----- 成员已添加到基本应用程序组

4786 ----- 成员已从基本应用程序组中删除

4787 ----- 非成员已添加到基本应用程序组

4788 ----- 从基本应用程序组中删除了非成员。

4789 ----- 基本应用程序组已删除

4790 ----- 已创建LDAP查询组

4791 ----- 基本应用程序组已更改

4792 ----- LDAP查询组已删除

4793 ----- 密码策略检查API已被调用

4794 ----- 尝试设置目录服务还原模式管理员密码

4797 ----- 试图查询帐户是否存在空白密码

4798 ----- 枚举了用户的本地组成员身份。

4799 ----- 已枚举启用安全性的本地组成员身份

4800 ----- 工作站已锁定

4801 ----- 工作站已解锁

4802 ----- 屏幕保护程序被调用

4803 ----- 屏幕保护程序被解雇了

4816 ----- RPC在解密传入消息时检测到完整性违规

4817 ----- 对象的审核设置已更改。

4818 ----- 建议的中央访问策略不授予与当前中央访问策略相同的访问权限

4819 ----- 计算机上的中央访问策略已更改

4820 ----- Kerberos票证授予票证（TGT）被拒绝，因为该设备不符合访问控制限制

4821 ----- Kerberos服务票证被拒绝，因为用户，设备或两者都不符合访问控制限制

4822 ----- NTLM身份验证失败，因为该帐户是受保护用户组的成员

4823 ----- NTLM身份验证失败，因为需要访问控制限制

4824 ----- 使用DES或RC4进行Kerberos预身份验证失败，因为该帐户是受保护用户组的成员

4825 ----- 用户被拒绝访问远程桌面。默认情况下，仅当用户是RemoteDesktop Users组或Administrators组的成员时才允许用户进行连接

4826 ----- 加载引导配置数据

4830 ----- SID历史记录已从帐户中删除

4864 ----- 检测到名称空间冲突

4865 ----- 添加了受信任的林信息条目

4866 ----- 已删除受信任的林信息条目

4867 ----- 已修改受信任的林信息条目

4868 ----- 证书管理器拒绝了挂起的证书请求

4869 ----- 证书服务收到重新提交的证书请求

4870 ----- 证书服务撤销了证书

4871 ----- 证书服务收到发布证书吊销列表（CRL）的请求

4872 ----- 证书服务发布证书吊销列表（CRL）

4873 ----- 证书申请延期已更改

4874 ----- 一个或多个证书请求属性已更改。

4875 ----- 证书服务收到关闭请求

4876 ----- 证书服务备份已启动

4877 ----- 证书服务备份已完成

4878 ----- 证书服务还原已开始

4879 ----- 证书服务恢复已完成

4880 ----- 证书服务已启动

4881 ----- 证书服务已停止

4882 ----- 证书服务的安全权限已更改

4883 ----- 证书服务检索到存档密钥

4884 ----- 证书服务将证书导入其数据库

4885 ----- 证书服务的审核筛选器已更改

4886 ----- 证书服务收到证书请求

4887 ----- 证书服务批准了证书请求并颁发了证书

4888 ----- 证书服务拒绝了证书请求

4889 ----- 证书服务将证书请求的状态设置为挂起

4890 ----- 证书服务的证书管理器设置已更改。

4891 ----- 证书服务中的配置条目已更改

4892 ----- 证书服务的属性已更改

4893 ----- 证书服务存档密钥

4894 ----- 证书服务导入并存档了一个密钥

4895 ----- 证书服务将CA证书发布到Active Directory域服务

4896 ----- 已从证书数据库中删除一行或多行

4897 ----- 启用角色分离

4898 ----- 证书服务加载了一个模板

4899 ----- 证书服务模板已更新

4900 ----- 证书服务模板安全性已更新

4902 ----- 已创建每用户审核策略表

4904 ----- 尝试注册安全事件源

4905 ----- 尝试取消注册安全事件源

4906 ----- CrashOnAuditFail值已更改

4907 ----- 对象的审核设置已更改

4908 ----- 特殊组登录表已修改

4909 ----- TBS的本地策略设置已更改

4910 ----- TBS的组策略设置已更改

4911 ----- 对象的资源属性已更改

4912 ----- 每用户审核策略已更改

4913 ----- 对象的中央访问策略已更改

4928 ----- 建立了Active Directory副本源命名上下文

4929 ----- 已删除Active Directory副本源命名上下文

4930 ----- 已修改Active Directory副本源命名上下文

4931 ----- 已修改Active Directory副本目标命名上下文

4932 ----- 已开始同步Active Directory命名上下文的副本

4933 ----- Active Directory命名上下文的副本的同步已结束

4934 ----- 已复制Active Directory对象的属性

4935 ----- 复制失败开始

4936 ----- 复制失败结束

4937 ----- 从副本中删除了一个延迟对象

4944 ----- Windows防火墙启动时，以下策略处于活动状态

4945 ----- Windows防火墙启动时列出了规则

4946 ----- 已对Windows防火墙例外列表进行了更改。增加了一条规则

4947 ----- 已对Windows防火墙例外列表进行了更改。规则被修改了

4948 ----- 已对Windows防火墙例外列表进行了更改。规则已删除

4949 ----- Windows防火墙设置已恢复为默认值

4950 ----- Windows防火墙设置已更改

4951 ----- 规则已被忽略，因为Windows防火墙无法识别其主要版本号

4952 ----- 已忽略规则的某些部分，因为Windows防火墙无法识别其次要版本号

4953 ----- Windows防火墙已忽略规则，因为它无法解析规则

4954 ----- Windows防火墙组策略设置已更改。已应用新设置

4956 ----- Windows防火墙已更改活动配置文件

4957 ----- Windows防火墙未应用以下规则

4958 ----- Windows防火墙未应用以下规则，因为该规则引用了此计算机上未配置的项目

4960 ----- IPsec丢弃了未通过完整性检查的入站数据包

4961 ----- IPsec丢弃了重放检查失败的入站数据包

4962 ----- IPsec丢弃了重放检查失败的入站数据包

4963 ----- IPsec丢弃了应该受到保护的入站明文数据包

4964 ----- 特殊组已分配给新登录

4965 ----- IPsec从远程计算机收到一个包含不正确的安全参数索引（SPI）的数据包。

4976 ----- 在主模式协商期间，IPsec收到无效的协商数据包。

4977 ----- 在快速模式协商期间，IPsec收到无效的协商数据包。

4978 ----- 在扩展模式协商期间，IPsec收到无效的协商数据包。

4979 ----- 建立了IPsec主模式和扩展模式安全关联。

4980 ----- 建立了IPsec主模式和扩展模式安全关联

4981 ----- 建立了IPsec主模式和扩展模式安全关联

4982 ----- 建立了IPsec主模式和扩展模式安全关联

4983 ----- IPsec扩展模式协商失败

4984 ----- IPsec扩展模式协商失败

4985 ----- 交易状态已发生变化

5024 ----- Windows防火墙服务已成功启动

5025 ----- Windows防火墙服务已停止

5027 ----- Windows防火墙服务无法从本地存储中检索安全策略

5028 ----- Windows防火墙服务无法解析新的安全策略。

5029 ----- Windows防火墙服务无法初始化驱动程序

5030 ----- Windows防火墙服务无法启动

5031 ----- Windows防火墙服务阻止应用程序接受网络上的传入连接。

5032 ----- Windows防火墙无法通知用户它阻止应用程序接受网络上的传入连接

5033 ----- Windows防火墙驱动程序已成功启动

5034 ----- Windows防火墙驱动程序已停止

5035 ----- Windows防火墙驱动程序无法启动

5037 ----- Windows防火墙驱动程序检测到严重的运行时错 终止

5038 ----- 代码完整性确定文件的图像哈希无效

5039 ----- 注册表项已虚拟化。

5040 ----- 已对IPsec设置进行了更改。添加了身份验证集。

5041 ----- 已对IPsec设置进行了更改。身份验证集已修改

5042 ----- 已对IPsec设置进行了更改。身份验证集已删除

5043 ----- 已对IPsec设置进行了更改。添加了连接安全规则

5044 ----- 已对IPsec设置进行了更改。连接安全规则已修改

5045 ----- 已对IPsec设置进行了更改。连接安全规则已删除

5046 ----- 已对IPsec设置进行了更改。添加了加密集

5047 ----- 已对IPsec设置进行了更改。加密集已被修改

5048 ----- 已对IPsec设置进行了更改。加密集已删除

5049 ----- IPsec安全关联已删除

5050 ----- 尝试使用对INetFwProfile.FirewallEnabled的调用以编程方式禁用Windows防火墙（FALSE

5051 ----- 文件已虚拟化

5056 ----- 进行了密码自检

5057 ----- 加密原语操作失败

5058 ----- 密钥文件操作

5059 ----- 密钥迁移操作

5060 ----- 验证操作失败

5061 ----- 加密操作

5062 ----- 进行了内核模式加密自检

5063 ----- 尝试了加密提供程序操作

5064 ----- 尝试了加密上下文操作

5065 ----- 尝试了加密上下文修改

5066 ----- 尝试了加密功能操作

5067 ----- 尝试了加密功能修改

5068 ----- 尝试了加密函数提供程序操作

5069 ----- 尝试了加密函数属性操作

5070 ----- 尝试了加密函数属性操作

5071 ----- Microsoft密钥分发服务拒绝密钥访问

5120 ----- OCSP响应程序服务已启动

5121 ----- OCSP响应程序服务已停止

5122 ----- OCSP响应程序服务中的配置条目已更改

5123 ----- OCSP响应程序服务中的配置条目已更改

5124 ----- 在OCSP Responder Service上更新了安全设置

5125 ----- 请求已提交给OCSP Responder Service

5126 ----- 签名证书由OCSP Responder Service自动更新

5127 ----- OCSP吊销提供商成功更新了吊销信息

5136 ----- 目录服务对象已修改

5137 ----- 已创建目录服务对象

5138 ----- 目录服务对象已取消删除

5139 ----- 已移动目录服务对象

5140 ----- 访问了网络共享对象

5141 ----- 目录服务对象已删除

5142 ----- 添加了网络共享对象。

5143 ----- 网络共享对象已被修改

5144 ----- 网络共享对象已删除。

5145 ----- 检查网络共享对象以查看是否可以向客户端授予所需的访问权限

5146 ----- Windows筛选平台已阻止数据包

5147 ----- 限制性更强的Windows筛选平台筛选器阻止了数据包

5148 ----- Windows过滤平台检测到DoS攻击并进入防御模式; 与此攻击相关的数据包将被丢弃。

5149 ----- DoS攻击已经消退，正常处理正在恢复。

5150 ----- Windows筛选平台已阻止数据包。

5151 ----- 限制性更强的Windows筛选平台筛选器阻止了数据包。

5152 ----- Windows筛选平台阻止了数据包

5153 ----- 限制性更强的Windows筛选平台筛选器阻止了数据包

5154 ----- Windows过滤平台允许应用程序或服务在端口上侦听传入连接

5155 ----- Windows筛选平台已阻止应用程序或服务侦听端口上的传入连接

5156 ----- Windows筛选平台允许连接

5157 ----- Windows筛选平台已阻止连接

5158 ----- Windows筛选平台允许绑定到本地端口

5159 ----- Windows筛选平台已阻止绑定到本地端口

5168 ----- SMB / SMB2的Spn检查失败。

5169 ----- 目录服务对象已修改

5170 ----- 在后台清理任务期间修改了目录服务对象

5376 ----- 已备份凭据管理器凭据

5377 ----- Credential Manager凭据已从备份还原

5378 ----- 策略不允许请求的凭据委派

5440 ----- Windows筛选平台基本筛选引擎启动时出现以下callout

5441 ----- Windows筛选平台基本筛选引擎启动时存在以下筛选器

5442 ----- Windows筛选平台基本筛选引擎启动时，存在以下提供程序

5443 ----- Windows筛选平台基本筛选引擎启动时，存在以下提供程序上下文

5444 ----- Windows筛选平台基本筛选引擎启动时，存在以下子层

5446 ----- Windows筛选平台标注已更改

5447 ----- Windows筛选平台筛选器已更改

5448 ----- Windows筛选平台提供程序已更改

5449 ----- Windows筛选平台提供程序上下文已更改

5450 ----- Windows筛选平台子层已更改

5451 ----- 建立了IPsec快速模式安全关联

5452 ----- IPsec快速模式安全关联已结束

5453 ----- 与远程计算机的IPsec协商失败，因为未启动IKE和AuthIP IPsec密钥模块（IKEEXT）服务

5456 ----- PAStore引擎在计算机上应用了Active Directory存储IPsec策略

5457 ----- PAStore引擎无法在计算机上应用Active Directory存储IPsec策略

5458 ----- PAStore引擎在计算机上应用了Active Directory存储IPsec策略的本地缓存副本

5459 ----- PAStore引擎无法在计算机上应用Active Directory存储IPsec策略的本地缓存副本

5460 ----- PAStore引擎在计算机上应用了本地注册表存储IPsec策略

5461 ----- PAStore引擎无法在计算机上应用本地注册表存储IPsec策略

5462 ----- PAStore引擎无法在计算机上应用某些活动IPsec策略规则

5463 ----- PAStore引擎轮询活动IPsec策略的更改并检测不到任何更改

5464 ----- PAStore引擎轮询活动IPsec策略的更改，检测到更改并将其应用于IPsec服务

5465 ----- PAStore Engine收到强制重新加载IPsec策略的控件并成功处理控件

5466 ----- PAStore引擎轮询Active Directory IPsec策略的更改，确定无法访问Active Directory，并将使用Active Directory

IPsec策略的缓存副本

5467 ----- PAStore引擎轮询Active Directory IPsec策略的更改，确定可以访问Active Directory，并且未找到对策略的更改

5468 ----- PAStore引擎轮询Active Directory IPsec策略的更改，确定可以访问Active Directory，找到策略更改并应用这些更改

5471 ----- PAStore引擎在计算机上加载了本地存储IPsec策略

5472 ----- PAStore引擎无法在计算机上加载本地存储IPsec策略

5473 ----- PAStore引擎在计算机上加载了目录存储IPsec策略

5474 ----- PAStore引擎无法在计算机上加载目录存储IPsec策略

5477 ----- PAStore引擎无法添加快速模式过滤器

5478 ----- IPsec服务已成功启动

5479 ----- IPsec服务已成功关闭

5480 ----- IPsec服务无法获取计算机上的完整网络接口列表

5483 ----- IPsec服务无法初始化RPC服务器。无法启动IPsec服务

5484 ----- IPsec服务遇到严重故障并已关闭

5485 ----- IPsec服务无法在网络接口的即插即用事件上处理某些IPsec筛选器

5632 ----- 已请求对无线网络进行身份验证

5633 ----- 已请求对有线网络进行身份验证

5712 ----- 尝试了远程过程调用（RPC）

5888 ----- COM +目录中的对象已被修改

5889 ----- 从COM +目录中删除了一个对象

5890 ----- 一个对象已添加到COM +目录中

6144 ----- 组策略对象中的安全策略已成功应用

6145 ----- 处理组策略对象中的安全策略时发生一个或多个错误

6272 ----- 网络策略服务器授予用户访问权限

6273 ----- 网络策略服务器拒绝访问用户

6274 ----- 网络策略服务器放弃了对用户的请求

6275 ----- 网络策略服务器放弃了用户的记帐请求

6276 ----- 网络策略服务器隔离了用户

6277 ----- 网络策略服务器授予用户访问权限，但由于主机未满足定义的健康策略而将其置于试用期

6278 ----- 网络策略服务器授予用户完全访问权限，因为主机符合定义的健康策略

6279 ----- 由于重复失败的身份验证尝试，网络策略服务器锁定了用户帐户

6280 ----- 网络策略服务器解锁了用户帐户

6281 ----- 代码完整性确定图像文件的页面哈希值无效…

6400 ----- BranchCache：在发现内容可用性时收到格式错误的响应。

6401 ----- BranchCache：从对等方收到无效数据。数据被丢弃。

6402 ----- BranchCache：提供数据的托管缓存的消息格式不正确。

6403 ----- BranchCache：托管缓存发送了对客户端消息的错误格式化响应以提供数据。

6404 ----- BranchCache：无法使用配置的SSL证书对托管缓存进行身份验证。

6405 ----- BranchCache：发生了事件ID％1的％2个实例。

6406 ----- ％1注册到Windows防火墙以控制以下过滤：

6408 ----- 已注册的产品％1失败，Windows防火墙现在正在控制％2的过滤。

6409 ----- BranchCache：无法解析服务连接点对象

6410 ----- 代码完整性确定文件不满足加载到进程中的安全性要求。这可能是由于使用共享部分或其他问题

6416 ----- 系统识别出新的外部设备。

6417 ----- FIPS模式加密自检成功

6418 ----- FIPS模式加密自检失败

6419 ----- 发出了禁用设备的请求

6420 ----- 设备已禁用

6421 ----- 已发出请求以启用设备

6422 ----- 设备已启用

6423 ----- 系统策略禁止安装此设备

6424 ----- 在事先被政策禁止之后，允许安装此设备

8191 ----- 最高系统定义的审计消息值

比较简单，是个人在自己学习的总结和借鉴了其他文章的总结，轻喷

封面借鉴：应急响应的整体思路和基本流程 - FreeBuf网络安全行业门

本文作者：taco， 转载请注明来自FreeBuf.COM