日志审计
查询安全日志: Get-WinEvent -FilterHashtable @{LogName='Security'}
指定id查询: Get-WinEvent -LogName Microsoft-Windows-PowerShell/Operational | Where-Object {$_.ID -eq "4100" -or $_.ID -eq "4104"}
指定时间查询:
1 | $StartTime=Get-Date -Year 2017 -Month 1 -Day 1 -Hour 15 -Minute 30 |
GUI: eventvwr.msc
重要日志id:
| event id | description |
|---|---|
| 4624 | 登陆成功 |
| 4625 | 登陆失败 |
| 4720 | 创建用户 |
| 4726 | 删除用户 |
| 4738 | 用户账户更改 |
| 4698 | 创建计划任务 |
| 4700 | 启用计划任务 |
| 5025 | 关闭防火墙 |
| 5030 | 防火墙无法启动 |
| 7045 | 创建服务 |
| 7030 | 创建服务错误 |
| 18456 | mssql登陆失败 |
检查账户
打开”本地和用户组”: lusrmgr.msc
列出当前所有用户: net user , wmic UserAccount get
用命令行无法列出隐藏用户,得在GUI界面看.或注册表: HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account
删除用户: net user test$ /del
网络连接
查看连接和监听的端口: netstat -anob
路由: netstat -rn
防火墙: netsh firewall show all
查到可疑链接的pid,再查进程.
可疑链接的ip可疑通过微步威胁情报查询.
进程分析
导出进程参数: wmic process get caption,commandline /value >> tmp.txt
指定进程名称信息: wmic process | findstr "name" >> proc.csv
查看系统占用: Get-Process
查看网络连接: Get-NetTCPConnection
查看服务与进程对应关系: tasklist /svc
查看进程与dll关系: tasklist -M
工具: SysinternalsSuite的procexp
开机自启
注册表开机自启位置:
1 | HKLM\Software\Microsoft\Windows\CurrentVersion\Runonce |
SysinternalsSuite 工具集的 Autoruns
GUI: gpedit.msc
查看服务
查看服务: Get-Service
GUI: services.msc
计划任务
1 | C:\Windows\System32\Tasks\ |
命令: schtasks
(若报错运行chcp 437)
GUI: taskschd.msc
其他工具
火绒剑
参考链接:
Windows 系统安全事件应急响应
Sysinternals Utilities Index
渗透技巧-Windows系统的帐户隐藏