windows server 应急响应查表

  • A+
所属分类:安全闲碎

日志审计

查询安全日志: Get-WinEvent -FilterHashtable @{LogName='Security'}
指定id查询: Get-WinEvent -LogName Microsoft-Windows-PowerShell/Operational | Where-Object {$_.ID -eq "4100" -or $_.ID -eq "4104"}
指定时间查询:

1
2
3
4
$StartTime=Get-Date  -Year  2017  -Month  1  -Day  1  -Hour  15  -Minute  30
$EndTime=Get-Date -Year 2017 -Month 2 -Day 15 -Hour 20 -Minute 00

Get-WinEvent -FilterHashtable @{LogName='System';StartTime=$StartTime;EndTime=$EndTime}

GUI: eventvwr.msc

重要日志id:

event id description
4624 登陆成功
4625 登陆失败
4720 创建用户
4726 删除用户
4738 用户账户更改
4698 创建计划任务
4700 启用计划任务
5025 关闭防火墙
5030 防火墙无法启动
7045 创建服务
7030 创建服务错误
18456 mssql登陆失败

检查账户

打开”本地和用户组”: lusrmgr.msc
列出当前所有用户: net user , wmic UserAccount get
用命令行无法列出隐藏用户,得在GUI界面看.或注册表: HKEY_LOCAL_MACHINESAMSAMDomainsAccount

删除用户: net user test$ /del

网络连接

查看连接和监听的端口: netstat -anob
路由: netstat -rn
防火墙: netsh firewall show all

查到可疑链接的pid,再查进程.
可疑链接的ip可疑通过微步威胁情报查询.

进程分析

导出进程参数: wmic process get caption,commandline /value >> tmp.txt
指定进程名称信息: wmic process | findstr "name" >> proc.csv
查看系统占用: Get-Process
查看网络连接: Get-NetTCPConnection
查看服务与进程对应关系: tasklist /svc
查看进程与dll关系: tasklist -M

工具: SysinternalsSuiteprocexp

开机自启

注册表开机自启位置:

1
2
3
4
5
6
7
HKLMSoftwareMicrosoftWindowsCurrentVersionRunonce
HKLMSoftwareMicrosoftWindowsCurrentVersionpoliciesExplorerRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
HKCUSoftwareMicrosoftWindows NTCurrentVersionWindowsRun
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
HKCUSoftwareMicrosoftWindowsCurrentVersionRunOnce
(ProfilePath)Start MenuProgramsStartup

SysinternalsSuite 工具集的 Autoruns
GUI: gpedit.msc

查看服务

查看服务: Get-Service
GUI: services.msc

计划任务

1
2
3
4
C:WindowsSystem32Tasks
C:WindowsSysWOW64Tasks
C:Windowstasks
*.job(指文件)

命令: schtasks
(若报错运行chcp 437)
GUI: 
taskschd.msc

其他工具

火绒剑

参考链接:
Windows 系统安全事件应急响应

-https://xz.aliyun.com/t/2524


Sysinternals Utilities Index

-https://docs.microsoft.com/en-us/sysinternals/downloads/


渗透技巧-Windows系统的帐户隐藏

-https://3gstudent.github.io/3gstudent.github.io/%E6%B8%97%E9%80%8F%E6%8A%80%E5%B7%A7-Windows%E7%B3%BB%E7%BB%9F%E7%9A%84%E5%B8%90%E6%88%B7%E9%9A%90%E8%97%8F/


作者:M09ic,文章来源:https://m09ic.top/posts/22311/



点击上方,关注公众号

如文章对你有帮助,请支持点下“赞”“在看”

本文始发于微信公众号(HACK之道):windows server 应急响应查表

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: