Windows应急事件

病毒、木马、蠕虫Web服务器入侵事件或第三方服务入侵事件系统入侵事件网络攻击事件（DDOS、ARP、DNS劫持等）

通用排查思路

获知异常事件基本情况发现主机异常现象的时间点和发现者异常现象受害用户的应急举措异常原因可能的入侵思路可能存在的痕迹获取Windows基本信息机器名称操作系统版本OS安装时间启动时间域名补丁安装情况计算机的详细信息检查相关日志Windows日志位置： Windows 2000/Server2003/Windows XP\%SystemRoot%\System32\Config\*.evtWindows Vista/7/10/Server2008\%SystemRoot%\System32\winevt\Logs\*.evtx日志审核策略 - auditpol /get/category:* 远程登录事件：RDP、PSExec日志GUI分析工具： Event Log Explorer、Microsoft Messeage Analyser、ETL Viewer 、 Log ParserPowerShell日志操作： Get-WinEvent、Get-WinEvent -ListLog *单条日志删除工具： EventCleaner、Eventlogedit-evtx--Evolution检查账户本地用户和组里查看，运行lusrmgr.msc使用net usr列出当前登录账号，使用 wmic UserAccount get列出当前系统所有账户检查注册表Hey...(需要管理员权限)检查SID检查网络连接netstat -anob、 netstat -rn、 netstat -anob | findstr "443"、netsh firewall show all检查进程netstat -abno | find "port number"、tasklist | findstr PID、wmic process | find "Proccess Id">proc.csv内存dump：SysinternalsSuite工具集的 notmyfault64内存分析：使用Volatility进行内存取证、分析入侵攻击痕迹，包括网络连接、进程、服务、驱动模块、DLL、handles、检测进程注入、检测Meterpreter、cmd历史命令、IE浏览器历史记录、启动项、用户、shimcache、userassist、部分rootkit隐藏文件、cmdliner等检查开机启动和运行服务注册表中关于开机启动的位置：HKLM...关于开机启动需要分析的位置：开始菜单，启动项任务管理器启动选项卡，或者运行msconfig，查看启动选项卡运行gpedit.msc在本地组策略编辑器里查看开机运行脚本，包括计算机配置和用户配置使用SysinternalsSuite工具集的Autoruns工具查看开机启动项目服务状态，自动启动配置 PowerShell - Get-Service检查计划任务存放计划任务的文件： System32\Tasks\、 SysWOW64\Tasks\、 Windows\tasks\、*.job(指文件)使用命令查看计划任务： schtasks、运行taskschd.msc打开计划任务面板，或者从计算机管理进入使用SysinternalsSuite工具集的Autoruns工具查看计划任务检查文件通过可以进程（CPU利用率、进程名）关联的文件按照时间现象关联的文件需要关注的文件位置：下载目录、回收站文件、程序临时文件、历史文件记录、应用程序打开历史、搜索历史、快捷方式、驱动、进程DLL的关联查询、共享文件、最近的文件（%UserProfile%\Recent）、文件更新、已安装文件（hklm:\software\Microsoft\Windows\CurrentVersion\Uninstall\）、异常现象之前创建的文件检查注册表