Windows网络安全审计
Win进程通信
netstat -nb
用这个命令就能看到进程和外部的IP连接情况,并且能定位出进程。
TCPView
TCPView = 图形化netstat
除了能用netstat命令,还可以使用图形化界面的TCPView,它可以非常条理地列出目前电脑的网络连接状况,可以查询到目前连线有哪些软件连接到了网络,也可以知道该程序所使用的端口,它占用了多大的带宽使用了多少流量。
应急响应的时候,通过它可以发现不正常的网络连接,发现原理就是:无论是挖矿病毒、僵尸网络、肉鸡、CC服务器、内网传播等恶意行为都需要与其他主机进行通信,则本地必须调用相应的IP、域名链接。包括本地地址、本地端口、远程地址、远程端口等操作。如果远程地址为一个恶意网站,便可以轻易获取到系统的中毒进程,快捷的定位到具体问题。
通过上图可以发现mssecsvc.exe进程,正在对外网多个IP445端口进行SYN包探测,说明它在扫描,这是Wannacry病毒传播的过程。
TCPView下载地址:
https://docs.microsoft.com/zh-cn/sysinternals/downloads/tcpview
参考:
https://blog.csdn.net/namechenfl/article/details/90767222
审计登陆历史
security日志
查看Win的登陆信息,可以查看security日志
WinLogOnView
如果在安全日志找不到有用的信息,或者说视图效果不好的话,可以换WinLogOnView工具查看,看看有没有可疑的远程登陆IP。
posted on 2020-07-27 16:03 Mysticbinary 阅读(525) 评论(0) 编辑 收藏 举报