Windows应急响应信息安全资料.pdfVIP

1.Windows的应急事件分类

Windows系统的应急事件，按照处理的方式，可分为下面几种类别：

病毒、木马、蠕事件

Web服务器入侵事件或第三方服务入侵事件

系统入侵事件，如利用Windows的漏洞攻击入侵系统、利用弱口令

入侵、利用其他服务的漏洞入侵，跟Web入侵有所区别，Web入

侵需要对Web日志进行分析，系统入侵只能查看Windows的事件

日志。

网络攻击事件（DDoS、ARP、DNS劫持等）

2.通用排查思路

入侵肯定会留下痕迹，另外重点强调的是不要一上来就各种查查查，

问清楚谁在什么时间发现的主机异常情况，异常的现象是什么，受害

用户做了什么样的紧急处理。问清楚主机异常情况后，需要动脑考虑

为什么会产生某种异常，从现象反推可能的入侵思路，再考虑会在

Windows主机上可能留下的痕迹，最后才是排除各种可能，确定入

侵的过程。

获取Window