摘要:
自己找资料看的,不确定有没有用
首先和客户确定排查范围、方案和方法,不确定的话,可能违法
对于主机的入侵痕迹排查,主要从网络连接、进程信息、后门账号、计划任务、登录日志、自启动项、文件等方面进行排查。
尽量断网排查,避免受攻击者干扰,也避免攻击者删除痕迹跑路。 阅读全文
摘要:
Windows的事件查看器可以查看各种日志,对应的可执行程序是 eventvwr.exe。
相应的命令行工具为 wevtutil.exe,功能较少,过滤不方便。
可以筛选一个时间段内的日志
可以把日志导出为各种格式,支持的有: evtx/xml/txt/csv
导出的csv用excel查看很方便,可以各种筛选,行高可以调整成一行的高度,查看更方便。
用EvtxECmd转换的csv日志会拆分出更多属性,可能更好看一些。 阅读全文
