Windows 应急响应

常见事件ID

• 1102 清理审计日志
• 4624 账号登陆成功
• 4625 账号登陆失败
• 4672 授予特殊权限
• 4720 创建用户
• 4726 删除用户
• 4728 将成员添加到启用安全的全局组中
• 4729 将成员从安全组移除
• 4732 将成员添加到启用安全的本地组中
• 4733 将成员从启用安全的本地组移除
• 4756 将成员添加到启用安全的通用组中
• 4757 将成员从启用安全的通用组中移除
• 4719 系统审计策略修改

常见登陆类型

• 2 交互式登陆（用户从控制台登陆）
• 3 网络 （比如通过net use，访问共享网络、共享文件夹）
• 4 批处理 （计划任务）
• 5 服务启动 （服务启动时，win会先创建一个新的登陆会话）
• 6 不支持
• 7 解锁 （锁屏解锁）
• 8 网络明文 （IIS服务器登陆验证）
• 9 新凭证 （使用带/netonly 参数的runas命令允许程序时）
• 10 远程交互 （终端服务、远程桌面、远程辅助）
• 11 缓存域证书登陆

命令

netstat -ano | more

tasklist | findstr "xxx"

systeminfo

net user

net user admin

Reference

http://www.freebuf.com/vuls/175560.html