Windows网络安全审计

目录

• Win进程通信
  • netstat -nb
  • TCPView
• 审计登陆历史
  • security日志
  • WinLogOnView

---

Win进程通信

netstat -nb

用这个命令就能看到进程和外部的IP连接情况，并且能定位出进程。

TCPView

TCPView = 图形化netstat
除了能用netstat命令，还可以使用图形化界面的TCPView，它可以非常条理地列出目前电脑的网络连接状况，可以查询到目前连线有哪些软件连接到了网络，也可以知道该程序所使用的端口，它占用了多大的带宽使用了多少流量。

应急响应的时候，通过它可以发现不正常的网络连接，发现原理就是：无论是挖矿病毒、僵尸网络、肉鸡、CC服务器、内网传播等恶意行为都需要与其他主机进行通信，则本地必须调用相应的IP、域名链接。包括本地地址、本地端口、远程地址、远程端口等操作。如果远程地址为一个恶意网站，便可以轻易获取到系统的中毒进程，快捷的定位到具体问题。

通过上图可以发现mssecsvc.exe进程，正在对外网多个IP445端口进行SYN包探测，说明它在扫描，这是Wannacry病毒传播的过程。

TCPView下载地址：
https://docs.microsoft.com/zh-cn/sysinternals/downloads/tcpview

参考：
https://blog.csdn.net/namechenfl/article/details/90767222

审计登陆历史

security日志

查看Win的登陆信息，可以查看security日志

WinLogOnView

如果在安全日志找不到有用的信息，或者说视图效果不好的话，可以换WinLogOnView工具查看，看看有没有可疑的远程登陆IP。

下载地址：
http://www.xitongzhijia.net/soft/120871.html