本網頁內容擷取自114年5月29日校園資通安全維護計畫 鍾沛原講師的簡報
一、資安攻擊趨勢
二、資安事件通報應變
三、基本數位鑑識分析
1-1、使用者帳號
本機帳號查詢
開啟"cmd";輸入:net user 可以查看是否為net localgroup Administrators
1-2、網域帳號
開啟檔案總管,路徑為:C:\Users 查看是否有可疑資料夾
2、處理程序
a、開啟"cmd";輸入:tasklist 查看是否有其他程式高耗資源
b、開啟工作管理員,觀察其他程式高耗資源
c、下載process explorer 並且加上"VirusTotoal"
點選View-->Select Columns…
於Process Image標籤勾選VirusTotal
點選Options-->VirusTotal.com-->Check VirusTotal.com
3、網路連線
a、開啟"cmd";輸入:netstat -an|more 或是 netstat -ano|more
b、下載TCP Viewer
分析現在連線中的TCP Session
4、檢視windows內建防火牆狀態
設定-->隱私權與安全性-->防火牆與網路防護-->進階設定-->輸出、輸入;監視-->防火牆
5、啟動執行區域
a、開啟"工作管理員"選擇開機;關閉不該在開機時啟動的程式。
b、下載AutoRuns
找出開機或特定程式啟動時會載入執行的內容
6、新增的排程
工作排程查詢是否有新增的排程工作
開啟"cmd"輸入:Schtask /query
7、被新增的軟體
開啟"cmd"輸入:wmic product get name,version
8、增多的事件日誌
Windows 系統管理工具-->事件檢視器-->Windows紀錄
來源位址反查詢
9、蒐集log
a、收集系統Log, Browser log, cookie…etc.,
b、Chrome 歷史紀錄
C:\Users\<username>\AppData\Local\Google\Chrome\User Data\Default
C:\Users\<username>\AppData\Local\Google\Chrome\User Data\Default\Cache
c、下載 Nirsoft 來觀察
10、觀察執行速度的變化
資源消耗、CPU高的Process、耗MEMORY的Process、異常的網路流量增高
11、簡易惡意程式檢測實作
四、資安院漏洞警訊公告