系统关键位置排查(Windows)_集群智慧网络安全云
全国客户服务热线:4006-054-001 疑难解答:159-9855-7370(7X24受理投诉、建议、合作、售前咨询),173-0411-9111(售前),155-4267-2990(售前),座机/传真:0411-83767788(售后),微信咨询:543646
企业服务导航

系统关键位置排查(Windows)

发布日期:2024-05-19 浏览次数: 专利申请、商标注册、软件著作权、资质办理快速响应热线:4006-054-001 微信:15998557370


系统关键位置排查(Windows)

免责声明: 文章仅用于技术分享,切勿非法测试,由于传播、利用本公众号朱厌安全团队所提供的信息而造成的后果以及损失,均由使用者本人承担,本公众号朱厌安全团队以及作者不为此承担任何责任!如有侵权烦请告知,我们会立即删除并致歉! 0X00 异常资源 端口: 检查端口连接情况,是否有远程连接、可疑连接 检查方法: 首先模拟msf连接服务器 1.使用netstat -ano 命令查看目前的网络连接,定位可疑的 ESTABLISHED 2.根据 netstat 命令定位出的 PID 编号,再通过 tasklist 命令进行进程定位 tasklist | findstr "PID" 3.查找到可疑进程PID:5748   这个就是msf进程 进程排查 •开始 -- 运行 -- 输入 msinfo32 命令,依次点击 "软件环境 -- 正在运行任务" 就可以查看到进程的详细信息,比如进程路径、进程ID、文件创建日期以及启动时间等 •打开D盾_web查杀工具,进程查看,关注没有签名信息的进程 •通过微软官方提供的 Process Explorer 等工具进行排查 •查看可疑的进程及其子进程。可以通过观察以下内容: ○没有签名验证信息的进程 ○没有描述信息的进程 ○进程的属主 ○进程的路径是否合法 ○CPU 或内存资源占用长时间过高的进程 也可以使用D盾查看连接情况  小技巧: •查看端口对应的 PID:netstat -ano | findstr "port" •查看进程对应的 PID:任务管理器 -- 查看 -- 选择列 -- PID 或者 tasklist | findstr "PID" •查看进程对应的程序位置: ○任务管理器 -- 选择对应进程 -- 右键打开文件位置 ○运行输入 wmic,cmd 界面输入 `process``` •tasklist /svc 进程 -- PID -- 服务 •查看Windows服务所对应的端口:%systemroot%/system32/drivers/etc/services(一般 %systemroot% 就是 C:Windows 路径) 直接kill进程:taskkill /PID 5748 -f # 强制终止进程 0X01 系统信息 1、查看系统版本以及补丁信息 •检查方法:单击【开始】>【运行】,输入 systeminfo,查看系统信息 2、查找可疑目录及文件 •检查方法: •a、 查看用户目录,新建账号会在这个目录生成一个用户目录,查看是否有新建用户目录 Plaintext Window 2003版本 C:Documents and Settings Window 2008R2及以后版本 C:Users •b、单击【开始】>【运行】,输入 %UserProfile%Recent,分析最近打开分析可疑文件 •c、在服务器各个目录,可根据文件夹内文件列表时间进行排序,查找可疑文件 •d、回收站、浏览器下载目录、浏览器历史记录 •e、修改时间在创建时间之前的为可疑文件 3、发现并得到 WebShell、远控木马的创建时间,如何找出同一时间范围内创建的文件? a、利用 Registry Workshop 注册表编辑器的搜索功能,可以找到最后写入时间区间的文件。 b、利用计算机自带文件搜索功能,指定修改时间进行搜索 0X02 检查启动项,计划任务,服务 1、检查服务器是否有异常的启动项 •检查方法: •a、登录服务器,单击【开始】>【所有程序】>【启动】,默认情况下此目录在是一个空目录,确认是否有非业务程序在该目录下。b、单击开始菜单 >【运行】,输入 msconfig,查看是否存在命名异常的启动项目,是则取消勾选命名异常的启动项目,并到命令中显示的路径删除文件。 c、单击【开始】>【运行】,输入 regedit,打开注册表,查看开机启动项是否正常,特别注意如下三个注册表项: Plaintext HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionrun HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunonce •检查右侧是否有启动异常的项目,如有请删除,并建议安装杀毒软件进行病毒查杀,清除残留病毒或木马 d、利用安全软件查看启动项、开机时间管理等 e、组策略,运行 gpedit.msc 2、检查计划任务 •检查方法: •a、单击【开始】>【设置】>【控制面板】>【任务计划】,查看计划任务属性,便可以发现木马文件的路径 •b、单击【开始】>【运行】;输入 cmd,然后输入 at,检查计算机与网络上的其它计算机之间的会话或计划任务,如有,则确认是否为正常连接 3、服务自启动 •检查方法:单击【开始】>【运行】,输入 services.msc,注意服务状态和启动类型,检查是否有异常服务 0X03 系统账号 1、查看服务器是否弱口令,远程管理端口是否对公网开放 •检查方法:据实际情况咨询相关服务器管理员 2、查看服务器是否存在可以账号,新增账号 •检查方法:打开cmd窗口,输入lusrmgr.msc命令,查看是否有新增/可疑的账号,如有管理员群组的(Administrators)里的新增账户,如有,请立即禁用或删除掉 3、查看服务器是否存在隐藏账号、克隆账号 使用命令net localgroup administrators  test$  /add 会建立隐藏用户,具有administrator的所有权限。在使用net user时是看不到这个用户 只能在策略组里面查看到这个隐藏用户 •检查方法: 1.打开注册表,查看管理员对应键值或者通过cmd命令 2.使用D盾_web查杀工具,集成了对克隆账号检测的功能 4、结合日志,查看管理员登录时间、用户名是否存在异常 •检查方法: •a、Win+R 打开运行,输入"eventvwr.msc",回车运行,打开“事件查看器” •b、导出 Windows 日志 -- 安全,利用微软官方工具 Log Parser 进行分析 0X04 windows安全事件id汇总 Win+R打开运行,输入“eventvwr.msc”,回车运行,打开“事件查看器”;或者右键我的电脑-管理-系统工具-事件查看器。在事件查看器中右键单击系统或安全日志,选择筛选当前日志,在筛选器中输入下列事件ID即可 日志路径:C:WindowsSystem32winevtLogs 查看日志:Security.evtx、System.evtx、Application.evtx 常用安全事件ID: 系统: 1074,通过这个事件ID查看计算机的开机、关机、重启的时间以及原因和注释 6005,表示计算机日志服务已启动,如果出现了事件ID为6005,则表示这天正常启动了系统 104,这个时间ID记录所有审计日志清除事件,当有日志被清除时,出现此事件ID 安全: 4624,这个事件ID表示成功登陆的用户,用来筛选该系统的用户登陆成功情况 4625,这个事件ID表示登陆失败的用户。 4720,4722,4723,4724,4725,4726,4738,4740,事件ID表示当用户帐号发生创建,删除,改变密码时的事件记录 4727,4737,4739,4762,事件ID表示当用户组发生添加、删除时或组内添加成员时生成该事件 安全事件ID汇总备查: Bash EVENT_ID                   安全事件信息 1100        -----      事件记录服务已关闭 1101        -----      审计事件已被运输中断。 1102        -----      审核日志已清除 1104        -----      安全日志现已满 1105        -----      事件日志自动备份 1108        -----      事件日志记录服务遇到错误 4608        -----      Windows正在启动 4609        -----      Windows正在关闭 4610        -----      本地安全机构已加载身份验证包 4611        -----      已向本地安全机构注册了受信任的登录进程 4612        -----      为审计消息排队分配的内部资源已经用尽,导致一些审计丢失。 4614        -----      安全帐户管理器已加载通知包。 4615        -----      LPC端口使用无效 4616        -----      系统时间已更改。 4618        -----      已发生受监视的安全事件模式 4621        -----      管理员从CrashOnAuditFail恢复了系统 4622        -----      本地安全机构已加载安全包。 4624        -----      帐户已成功登录 4625        -----      帐户无法登录 4626        -----      用户/设备声明信息 4627        -----      集团会员信息。 4634        -----      帐户已注销 4646        -----      IKE DoS防护模式已启动 4647        -----      用户启动了注销 4648        -----      使用显式凭据尝试登录 4649        -----      检测到重播攻击 4650        -----      建立了IPsec主模式安全关联 4651        -----      建立了IPsec主模式安全关联 4652        -----      IPsec主模式协商失败 4653        -----      IPsec主模式协商失败 4654        -----      IPsec快速模式协商失败 4655        -----      IPsec主模式安全关联已结束 4656        -----      请求了对象的句柄 4657        -----      注册表值已修改 4658        -----      对象的句柄已关闭 4659        -----      请求删除对象的句柄 4660        -----      对象已删除 4661        -----      请求了对象的句柄 4662        -----      对对象执行了操作 4663        -----      尝试访问对象 4664        -----      试图创建一个硬链接 4665        -----      尝试创建应用程序客户端上下文。 4666        -----      应用程序尝试了一个操作 4667        -----      应用程序客户端上下文已删除 4668        -----      应用程序已初始化 4670        -----      对象的权限已更改 4671        -----      应用程序试图通过TBS访问被阻止的序号 4672        -----      分配给新登录的特权 4673        -----      特权服务被召唤 4674        -----      尝试对特权对象执行操作 4675        -----      SID被过滤掉了 4688        -----      已经创建了一个新流程 4689        -----      一个过程已经退出 4690        -----      尝试复制对象的句柄 4691        -----      请求间接访问对象 4692        -----      尝试备份数据保护主密钥 4693        -----      尝试恢复数据保护主密钥 4694        -----      试图保护可审计的受保护数据 4695        -----      尝试不受保护的可审计受保护数据 4696        -----      主要令牌已分配给进程 4697        -----      系统中安装了一项服务 4698        -----      已创建计划任务 4699        -----      计划任务已删除 4700        -----      已启用计划任务 4701        -----      计划任务已禁用 4702        -----      计划任务已更新 4703        -----      令牌权已经调整 4704        -----      已分配用户权限 4705        -----      用户权限已被删除 4706        -----      为域创建了新的信任 4707        -----      已删除对域的信任 4709        -----      IPsec服务已启动 4710        -----      IPsec服务已禁用 4711        -----      PAStore引擎(1%) 4712        -----      IPsec服务遇到了潜在的严重故障 4713        -----      Kerberos策略已更改 4714        -----      加密数据恢复策略已更改 4715        -----      对象的审核策略(SACL)已更改 4716        -----      可信域信息已被修改 4717        -----      系统安全访问权限已授予帐户 4718        -----      系统安全访问已从帐户中删除 4719        -----      系统审核策略已更改 4720        -----      已创建用户帐户 4722        -----      用户帐户已启用 4723        -----      尝试更改帐户的密码 4724        -----      尝试重置帐户密码 4725        -----      用户帐户已被禁用 4726        -----      用户帐户已删除 4727        -----      已创建启用安全性的全局组 4728        -----      已将成员添加到启用安全性的全局组中 4729        -----      成员已从启用安全性的全局组中删除 4730        -----      已删除启用安全性的全局组 4731        -----      已创建启用安全性的本地组 4732        -----      已将成员添加到启用安全性的本地组 4733        -----      成员已从启用安全性的本地组中删除 4734        -----      已删除已启用安全性的本地组 4735        -----      已启用安全性的本地组已更改 4737        -----      启用安全性的全局组已更改 4738        -----      用户帐户已更改 4739        -----      域策略已更改 4740        -----      用户帐户已被锁定 4741        -----      已创建计算机帐户 4742        -----      计算机帐户已更改 4743        -----      计算机帐户已删除 4744        -----      已创建禁用安全性的本地组 4745        -----      已禁用安全性的本地组已更改 4746        -----      已将成员添加到已禁用安全性的本地组 4747        -----      已从安全性已禁用的本地组中删除成员 4748        -----      已删除安全性已禁用的本地组 4749        -----      已创建一个禁用安全性的全局组 4750        -----      已禁用安全性的全局组已更改 4751        -----      已将成员添加到已禁用安全性的全局组中 4752        -----      成员已从禁用安全性的全局组中删除 4753        -----      已删除安全性已禁用的全局组 4754        -----      已创建启用安全性的通用组 4755        -----      启用安全性的通用组已更改 4756        -----      已将成员添加到启用安全性的通用组中 4757        -----      成员已从启用安全性的通用组中删除 4758        -----      已删除启用安全性的通用组 4759        -----      创建了一个安全禁用的通用组 4760        -----      安全性已禁用的通用组已更改 4761        -----      已将成员添加到已禁用安全性的通用组中 4762        -----      成员已从禁用安全性的通用组中删除 4763        -----      已删除安全性已禁用的通用组 4764        -----      组类型已更改 4765        -----      SID历史记录已添加到帐户中 4766        -----      尝试将SID历史记录添加到帐户失败 4767        -----      用户帐户已解锁 4768        -----      请求了Kerberos身份验证票证(TGT) 4769        -----      请求了Kerberos服务票证 4770        -----      更新了Kerberos服务票证 4771        -----      Kerberos预身份验证失败 4772        -----      Kerberos身份验证票证请求失败 4773        -----      Kerberos服务票证请求失败 4774        -----      已映射帐户以进行登录 4775        -----      无法映射帐户以进行登录 4776        -----      域控制器尝试验证帐户的凭据 4777        -----      域控制器无法验证帐户的凭据 4778        -----      会话重新连接到Window Station 4779        -----      会话已与Window   Station断开连接 4780        -----      ACL是在作为管理员组成员的帐户上设置的 4781        -----      帐户名称已更改 4782        -----      密码哈希帐户被访问 4783        -----      创建了一个基本应用程序组 4784        -----      基本应用程序组已更改 4785        -----      成员已添加到基本应用程序组 4786        -----      成员已从基本应用程序组中删除 4787        -----      非成员已添加到基本应用程序组 4788        -----      从基本应用程序组中删除了非成员。 4789        -----      基本应用程序组已删除 4790        -----      已创建LDAP查询组 4791        -----      基本应用程序组已更改 4792        -----      LDAP查询组已删除 4793        -----      密码策略检查API已被调用 4794        -----      尝试设置目录服务还原模式管理员密码 4797        -----      试图查询帐户是否存在空白密码 4798        -----      枚举了用户的本地组成员身份。 4799        -----      已枚举启用安全性的本地组成员身份 4800        -----      工作站已锁定 4801        -----      工作站已解锁 4802        -----      屏幕保护程序被调用 4803        -----      屏幕保护程序被解雇了 4816        -----      RPC在解密传入消息时检测到完整性违规 4817        -----      对象的审核设置已更改。 4818        -----      建议的中央访问策略不授予与当前中央访问策略相同的访问权限 4819        -----      计算机上的中央访问策略已更改 4820        -----      Kerberos票证授予票证(TGT)被拒绝,因为该设备不符合访问控制限制 4821        -----      Kerberos服务票证被拒绝,因为用户,设备或两者都不符合访问控制限制 4822        -----      NTLM身份验证失败,因为该帐户是受保护用户组的成员 4823        -----      NTLM身份验证失败,因为需要访问控制限制 4824        -----      使用DES或RC4进行Kerberos预身份验证失败,因为该帐户是受保护用户组的成员 4825        -----      用户被拒绝访问远程桌面。默认情况下,仅当用户是RemoteDesktop Users组或Administrators组的成员时才允许用户进行连接 4826        -----      加载引导配置数据 4830        -----      SID历史记录已从帐户中删除 4864        -----      检测到名称空间冲突 4865        -----      添加了受信任的林信息条目 4866        -----      已删除受信任的林信息条目 4867        -----      已修改受信任的林信息条目 4868        -----      证书管理器拒绝了挂起的证书请求 4869        -----      证书服务收到重新提交的证书请求 4870        -----      证书服务撤销了证书 4871        -----      证书服务收到发布证书吊销列表(CRL)的请求 4872        -----      证书服务发布证书吊销列表(CRL) 4873        -----      证书申请延期已更改 4874        -----      一个或多个证书请求属性已更改。 4875        -----      证书服务收到关闭请求 4876        -----      证书服务备份已启动 4877        -----      证书服务备份已完成 4878        -----      证书服务还原已开始 4879        -----      证书服务恢复已完成 4880        -----      证书服务已启动 4881        -----      证书服务已停止 4882        -----      证书服务的安全权限已更改 4883        -----      证书服务检索到存档密钥 4884        -----      证书服务将证书导入其数据库 4885        -----      证书服务的审核筛选器已更改 4886        -----      证书服务收到证书请求 4887        -----      证书服务批准了证书请求并颁发了证书 4888        -----      证书服务拒绝了证书请求 4889        -----      证书服务将证书请求的状态设置为挂起 4890        -----      证书服务的证书管理器设置已更改。 4891        -----      证书服务中的配置条目已更改 4892        -----      证书服务的属性已更改 4893        -----      证书服务存档密钥 4894        -----      证书服务导入并存档了一个密钥 4895        -----      证书服务将CA证书发布到Active Directory域服务 4896        -----      已从证书数据库中删除一行或多行 4897        -----      启用角色分离 4898        -----      证书服务加载了一个模板 4899        -----      证书服务模板已更新 4900        -----      证书服务模板安全性已更新 4902        -----      已创建每用户审核策略表 4904        -----      尝试注册安全事件源 4905        -----      尝试取消注册安全事件源 4906        -----      CrashOnAuditFail值已更改 4907        -----      对象的审核设置已更改 4908        -----      特殊组登录表已修改 4909        -----      TBS的本地策略设置已更改 4910        -----      TBS的组策略设置已更改 4911        -----      对象的资源属性已更改 4912        -----      每用户审核策略已更改 4913        -----      对象的中央访问策略已更改 4928        -----      建立了Active  Directory副本源命名上下文 4929        -----      已删除Active  Directory副本源命名上下文 4930        -----      已修改Active  Directory副本源命名上下文 4931        -----      已修改Active  Directory副本目标命名上下文 4932        -----      已开始同步Active  Directory命名上下文的副本 4933        -----      Active  Directory命名上下文的副本的同步已结束 4934        -----      已复制Active  Directory对象的属性 4935        -----      复制失败开始 4936        -----      复制失败结束 4937        -----      从副本中删除了一个延迟对象 4944        -----      Windows防火墙启动时,以下策略处于活动状态 4945        -----      Windows防火墙启动时列出了规则 4946        -----      已对Windows防火墙例外列表进行了更改。增加了一条规则 4947        -----      已对Windows防火墙例外列表进行了更改。规则被修改了 4948        -----      已对Windows防火墙例外列表进行了更改。规则已删除 4949        -----      Windows防火墙设置已恢复为默认值 4950        -----      Windows防火墙设置已更改 4951        -----      规则已被忽略,因为Windows防火墙无法识别其主要版本号 4952        -----      已忽略规则的某些部分,因为Windows防火墙无法识别其次要版本号 4953        -----      Windows防火墙已忽略规则,因为它无法解析规则 4954        -----      Windows防火墙组策略设置已更改。已应用新设置 4956        -----      Windows防火墙已更改活动配置文件 4957        -----      Windows防火墙未应用以下规则 4958        -----      Windows防火墙未应用以下规则,因为该规则引用了此计算机上未配置的项目 4960        -----      IPsec丢弃了未通过完整性检查的入站数据包 4961        -----      IPsec丢弃了重放检查失败的入站数据包 4962        -----      IPsec丢弃了重放检查失败的入站数据包 4963        -----      IPsec丢弃了应该受到保护的入站明文数据包 4964        -----      特殊组已分配给新登录 4965        -----      IPsec从远程计算机收到一个包含不正确的安全参数索引(SPI)的数据包。 4976        -----      在主模式协商期间,IPsec收到无效的协商数据包。 4977        -----      在快速模式协商期间,IPsec收到无效的协商数据包。 4978        -----      在扩展模式协商期间,IPsec收到无效的协商数据包。 4979        -----      建立了IPsec主模式和扩展模式安全关联。 4980        -----      建立了IPsec主模式和扩展模式安全关联 4981        -----      建立了IPsec主模式和扩展模式安全关联 4982        -----      建立了IPsec主模式和扩展模式安全关联 4983        -----      IPsec扩展模式协商失败 4984        -----      IPsec扩展模式协商失败 4985        -----      交易状态已发生变化 5024        -----      Windows防火墙服务已成功启动 5025        -----      Windows防火墙服务已停止 5027        -----      Windows防火墙服务无法从本地存储中检索安全策略 5028        -----      Windows防火墙服务无法解析新的安全策略。 5029        -----      Windows防火墙服务无法初始化驱动程序 5030        -----      Windows防火墙服务无法启动 5031        -----      Windows防火墙服务阻止应用程序接受网络上的传入连接。 5032        -----      Windows防火墙无法通知用户它阻止应用程序接受网络上的传入连接 5033        -----      Windows防火墙驱动程序已成功启动 5034        -----      Windows防火墙驱动程序已停止 5035        -----      Windows防火墙驱动程序无法启动 5037        -----      Windows防火墙驱动程序检测到严重的运行时错 终止 5038        -----      代码完整性确定文件的图像哈希无效 5039        -----      注册表项已虚拟化。 5040        -----      已对IPsec设置进行了更改。添加了身份验证集。 5041        -----      已对IPsec设置进行了更改。身份验证集已修改 5042        -----      已对IPsec设置进行了更改。身份验证集已删除 5043        -----      已对IPsec设置进行了更改。添加了连接安全规则 5044        -----      已对IPsec设置进行了更改。连接安全规则已修改 5045        -----      已对IPsec设置进行了更改。连接安全规则已删除 5046        -----      已对IPsec设置进行了更改。添加了加密集 5047        -----      已对IPsec设置进行了更改。加密集已被修改 5048        -----      已对IPsec设置进行了更改。加密集已删除 5049        -----      IPsec安全关联已删除 5050        -----      尝试使用对INetFwProfile.FirewallEnabled的调用以编程方式禁用Windows防火墙(FALSE 5051        -----      文件已虚拟化 5056        -----      进行了密码自检 5057        -----      加密原语操作失败 5058        -----      密钥文件操作 5059        -----      密钥迁移操作 5060        -----      验证操作失败 5061        -----      加密操作 5062        -----      进行了内核模式加密自检 5063        -----      尝试了加密提供程序操作 5064        -----      尝试了加密上下文操作 5065        -----      尝试了加密上下文修改 5066        -----      尝试了加密功能操作 5067        -----      尝试了加密功能修改 5068        -----      尝试了加密函数提供程序操作 5069        -----      尝试了加密函数属性操作 5070        -----      尝试了加密函数属性操作 5071        -----      Microsoft密钥分发服务拒绝密钥访问 5120        -----      OCSP响应程序服务已启动 5121        -----      OCSP响应程序服务已停止 5122        -----      OCSP响应程序服务中的配置条目已更改 5123        -----      OCSP响应程序服务中的配置条目已更改 5124        -----      在OCSP  Responder Service上更新了安全设置 5125        -----      请求已提交给OCSP  Responder Service 5126        -----      签名证书由OCSP  Responder Service自动更新 5127        -----      OCSP吊销提供商成功更新了吊销信息 5136        -----      目录服务对象已修改 5137        -----      已创建目录服务对象 5138        -----      目录服务对象已取消删除 5139        -----      已移动目录服务对象 5140        -----      访问了网络共享对象 5141        -----      目录服务对象已删除 5142        -----      添加了网络共享对象。 5143        -----      网络共享对象已被修改 5144        -----      网络共享对象已删除。 5145        -----      检查网络共享对象以查看是否可以向客户端授予所需的访问权限 5146        -----      Windows筛选平台已阻止数据包 5147        -----      限制性更强的Windows筛选平台筛选器阻止了数据包 5148        -----      Windows过滤平台检测到DoS攻击并进入防御模式; 与此攻击相关的数据包将被丢弃。 5149        -----      DoS攻击已经消退,正常处理正在恢复。 5150        -----      Windows筛选平台已阻止数据包。 5151        -----      限制性更强的Windows筛选平台筛选器阻止了数据包。 5152        -----      Windows筛选平台阻止了数据包 5153        -----      限制性更强的Windows筛选平台筛选器阻止了数据包 5154        -----      Windows过滤平台允许应用程序或服务在端口上侦听传入连接 5155        -----      Windows筛选平台已阻止应用程序或服务侦听端口上的传入连接 5156        -----      Windows筛选平台允许连接 5157        -----      Windows筛选平台已阻止连接 5158        -----      Windows筛选平台允许绑定到本地端口 5159        -----      Windows筛选平台已阻止绑定到本地端口 5168        -----      SMB  / SMB2的Spn检查失败。 5169        -----      目录服务对象已修改 5170        -----      在后台清理任务期间修改了目录服务对象 5376        -----      已备份凭据管理器凭据 5377        -----      Credential  Manager凭据已从备份还原 5378        -----      策略不允许请求的凭据委派 5440        -----      Windows筛选平台基本筛选引擎启动时出现以下callout 5441        -----      Windows筛选平台基本筛选引擎启动时存在以下筛选器 5442        -----      Windows筛选平台基本筛选引擎启动时,存在以下提供程序 5443        -----      Windows筛选平台基本筛选引擎启动时,存在以下提供程序上下文 5444        -----      Windows筛选平台基本筛选引擎启动时,存在以下子层 5446        -----      Windows筛选平台标注已更改 5447        -----      Windows筛选平台筛选器已更改 5448        -----      Windows筛选平台提供程序已更改 5449        -----      Windows筛选平台提供程序上下文已更改 5450        -----      Windows筛选平台子层已更改 5451        -----      建立了IPsec快速模式安全关联 5452        -----      IPsec快速模式安全关联已结束 5453        -----      与远程计算机的IPsec协商失败,因为未启动IKE和AuthIP  IPsec密钥模块(IKEEXT)服务 5456        -----      PAStore引擎在计算机上应用了Active  Directory存储IPsec策略 5457        -----      PAStore引擎无法在计算机上应用Active  Directory存储IPsec策略 5458        -----      PAStore引擎在计算机上应用了Active  Directory存储IPsec策略的本地缓存副本 5459        -----      PAStore引擎无法在计算机上应用Active  Directory存储IPsec策略的本地缓存副本 5460        -----      PAStore引擎在计算机上应用了本地注册表存储IPsec策略 5461        -----      PAStore引擎无法在计算机上应用本地注册表存储IPsec策略 5462        -----      PAStore引擎无法在计算机上应用某些活动IPsec策略规则 5463        -----      PAStore引擎轮询活动IPsec策略的更改并检测不到任何更改 5464        -----      PAStore引擎轮询活动IPsec策略的更改,检测到更改并将其应用于IPsec服务 5465        -----      PAStore Engine收到强制重新加载IPsec策略的控件并成功处理控件 5466        -----      PAStore引擎轮询Active  Directory IPsec策略的更改,确定无法访问Active Directory,并将使用Active Directory IPsec策略的缓存副本 5467        -----      PAStore引擎轮询Active Directory IPsec策略的更改,确定可以访问Active Directory,并且未找到对策略的更改 5468        -----      PAStore引擎轮询Active Directory IPsec策略的更改,确定可以访问Active Directory,找到策略更改并应用这些更改 5471        -----      PAStore引擎在计算机上加载了本地存储IPsec策略 5472        -----      PAStore引擎无法在计算机上加载本地存储IPsec策略 5473        -----      PAStore引擎在计算机上加载了目录存储IPsec策略 5474        -----      PAStore引擎无法在计算机上加载目录存储IPsec策略 5477        -----      PAStore引擎无法添加快速模式过滤器 5478        -----      IPsec服务已成功启动 5479        -----      IPsec服务已成功关闭 5480        -----      IPsec服务无法获取计算机上的完整网络接口列表 5483        -----      IPsec服务无法初始化RPC服务器。无法启动IPsec服务 5484        -----      IPsec服务遇到严重故障并已关闭 5485        -----      IPsec服务无法在网络接口的即插即用事件上处理某些IPsec筛选器 5632        -----      已请求对无线网络进行身份验证 5633        -----      已请求对有线网络进行身份验证 5712        -----      尝试了远程过程调用(RPC) 5888        -----      COM +目录中的对象已被修改 5889        -----      从COM +目录中删除了一个对象 5890        -----      一个对象已添加到COM +目录中 6144        -----      组策略对象中的安全策略已成功应用 6145        -----      处理组策略对象中的安全策略时发生一个或多个错误 6272        -----      网络策略服务器授予用户访问权限 6273        -----      网络策略服务器拒绝访问用户 6274        -----      网络策略服务器放弃了对用户的请求 6275        -----      网络策略服务器放弃了用户的记帐请求 6276        -----      网络策略服务器隔离了用户 6277        -----      网络策略服务器授予用户访问权限,但由于主机未满足定义的健康策略而将其置于试用期 6278        -----      网络策略服务器授予用户完全访问权限,因为主机符合定义的健康策略 6279        -----      由于重复失败的身份验证尝试,网络策略服务器锁定了用户帐户 6280        -----      网络策略服务器解锁了用户帐户 6281        -----      代码完整性确定图像文件的页面哈希值无效...6400        -----      BranchCache:在发现内容可用性时收到格式错误的响应。 6401        -----      BranchCache:从对等方收到无效数据。数据被丢弃。 6402        -----      BranchCache:提供数据的托管缓存的消息格式不正确。 6403        -----      BranchCache:托管缓存发送了对客户端消息的错误格式化响应以提供数据。 6404        -----      BranchCache:无法使用配置的SSL证书对托管缓存进行身份验证。 6405        -----      BranchCache:发生了事件ID%1的%2个实例。 6406        -----      %1注册到Windows防火墙以控制以下过滤: 6408        -----      已注册的产品%1失败,Windows防火墙现在正在控制%2的过滤。 6409        -----      BranchCache:无法解析服务连接点对象 6410        -----      代码完整性确定文件不满足加载到进程中的安全性要求。这可能是由于使用共享部分或其他问题 6416        -----      系统识别出新的外部设备。 6417        -----      FIPS模式加密自检成功 6418        -----      FIPS模式加密自检失败 6419        -----      发出了禁用设备的请求 6420        -----      设备已禁用 6421        -----      已发出请求以启用设备 6422        -----      设备已启用 6423        -----      系统策略禁止安装此设备 6424        -----      在事先被政策禁止之后,允许安装此设备 8191        -----      最高系统定义的审计消息值 0X05 病毒木马检测工具 病毒分析 PCHunter:http://www.xuetr.com 火绒剑:https://www.huorong.cn Process Explorer:https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer processhacker:https://processhacker.sourceforge.io/downloads.php autoruns:https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns OTL:https://www.bleepingcomputer.com/download/otl/ SysInspector:http://download.eset.com.cn/download/detail/?product=sysinspector 病毒查杀 卡巴斯基:http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe (推荐理由:绿色版、最新病毒库) 大蜘蛛:http://free.drweb.ru/download+cureit+free(推荐理由:扫描快、一次下载只能用1周,更新病毒库) 火绒安全软件:https://www.huorong.cn 360杀毒:http://sd.360.cn/download_center.html 病毒动态 CVERC-国家计算机病毒应急处理中心:http://www.cverc.org.cn 微步在线威胁情报社区:https://x.threatbook.cn 火绒安全论坛:http://bbs.huorong.cn/forum-59-1.html 爱毒霸社区:http://bbs.duba.net 腾讯电脑管家:http://bbs.guanjia.qq.com/forum-2-1.html 在线病毒扫描网站 Virustotal:https://www.virustotal.com Virscan:http://www.virscan.org 腾讯哈勃分析系统:https://habo.qq.com Jotti 恶意软件扫描系统:https://virusscan.jotti.org webshell查杀 D盾_Web查杀:http://www.d99net.net/index.asp 河马 WebShell 查杀:http://www.shellpub.com

系统关键位置排查(Windows)