Windows应急响应信息安全资料.docxVIP

Windows的应急事件分类

Windows系统的应急事件，按照处理的方式，可分为下面几种类别：

病毒、木马、蠕虫事件

Web服务器入侵事件或第三方服务入侵事件

系统入侵事件，如利用Windows的漏洞攻击入侵系统、利用弱口令入侵、利用其他服务的漏洞入侵，跟Web入侵有所区别，Web入侵需要对Web日志进行分析，系统入侵只能查看Windows的事件日志。

网络攻击事件（DDoS、ARP、DNS劫持等）

2.通用排查思路

入侵肯定会留下痕迹，另外重点强调的是不要一上来就各种查查查，问清楚谁在什么时间发现的主机异常情况，异常的现象是什么，受害用户做了什么样的紧急处理。问清楚主机异常情况后，需要动脑考虑为什么会产生某种异常，从现象反推可能的入侵思路，再考虑会在Windows主机上可能留下的痕迹，最后才是排除各种可能，确定入侵的过程。

获取Windows的基本信息，如机器名称、操作系统版本、OS安装时间、启动时间、域名、补丁安装情况，使用systeminfo命令获取。运行msinfo32也可以查看计算机的详细信息。

2.1直接检查相关日志

任何操作（人、程序、进程）都会导致产生相关日志

2.1.1Windows日志简介

日志记录了系统中硬件、软件和系统问题的信息，同时还监视着系统中发生的事件。当服务器被入侵或者系统（应用）出现问题时，管理员可以根