Windows 应急响应
常见事件ID
1102 清理审计日志
4624 账号登陆成功
4625 账号登陆失败
4672 授予特殊权限
4720 创建用户
4726 删除用户
4728 将成员添加到启用安全的全局组中
4729 将成员从安全组移除
4732 将成员添加到启用安全的本地组中
4733 将成员从启用安全的本地组移除
4756 将成员添加到启用安全的通用组中
4757 将成员从启用安全的通用组中移除
4719 系统审计策略修改
常见登陆类型
2 交互式登陆(用户从控制台登陆)
3 网络 (比如通过net use,访问共享网络、共享文件夹)
4 批处理 (计划任务)
5 服务启动 (服务启动时,win会先创建一个新的登陆会话)
6 不支持
7 解锁 (锁屏解锁)
8 网络明文 (IIS服务器登陆验证)
9 新凭证 (使用带/netonly 参数的runas命令允许程序时)
10 远程交互 (终端服务、远程桌面、远程辅助)
11 缓存域证书登陆
命令
netstat -ano | more
tasklist | findstr "xxx"
systeminfo
net user
net user admin
Reference
http://www.freebuf.com/vuls/175560.html
