Windows主机入侵痕迹排查办法
一、排查思路
1.1初步筛选排查资产
1.2确定排查资产
1.3入侵痕迹排查
二、排查内容
2.1windows主机
查看粘滞键exe; 查看注册表中映像的键值。
打开regedit查看注册表中的账号; 查看administrators组中是否存在赋权异常的账号。
使用Autoruns工具查看自启动项 查看组策略中的脚本 查看注册表中的脚本、程序等 查看各账号自启目录下的脚本、程序等 查看Windows服务中的可执行文件路径
查看登录日志中暴力破解痕迹; 查看账号管理日志中账号的新增、修改痕迹; 查看远程桌面登录日志中的登录痕迹。
三、总结一下
来源:FreeBuf
版权申明:内容来源网络,版权归原创者所有。除非无法确认,我们都会标明作者及出处,如有侵权烦请告知,我们会立即删除并表示歉意。谢谢!
评论