Guide de référence rapide Windows Live Response (QRG)
Si vous soupçonnez qu'un système Windows est compromis, reportez-vous à ce QRG pour mettre en œuvre la collecte de données en direct. Intro : implémentez les étapes de ce QRG dès que vous suspectez une compromission du système.
Si vous soupçonnez qu'un système Windows est compromis, reportez-vous à ce QRG pour mettre en œuvre la collecte de données en direct.
Intro : implémentez les étapes de ce QRG dès que vous suspectez une compromission du système. Ce QRG vous guidera à travers les étapes de la collecte de données en direct. Outre les étapes ci-dessous, limitez l'utilisation sur le système compromis car cela modifiera ses données.
Prérequis : Ce QRG est conçu pour être exécuté sur n'importe quelle machine Windows avec CMD.exe sans privilèges administratifs. Il est nécessaire d'avoir un lecteur externe vide avec au moins 64 gigaoctets ou plus prêt pour les cas de réponse aux incidents.
- Au poste de travail compromis, utilisez un bloc-notes pour enregistrer votre date et heure actuelles, le nom d'utilisateur du poste de travail et tout nom/numéro d'ordinateur observable sur le poste de travail.
- Insérez le lecteur externe prêt à l'emploi dans le poste de travail compromis et identifiez la lettre de lecteur qui lui est attribuée en allant dans "Poste de travail" ou "Ce PC", selon votre version de Windows.
- Ouvrez le menu Démarrer, recherchez l'invite de commande (CMD) et lancez-le.
- Dans CMD, récupérez la {System Date}, l'{Time} et le {Time Zone} et exportez-les vers votre lecteur externe (où "E" correspond à la lettre de votre lecteur dans le code) : Tapez : > echo %date% %
time % > E:\date_heure.txt
Suivi de : > echo & tzutil /g >> E:date_heure.txt - Récupérez les {informations système} : > systeminfo > E:system_info.txt
- Récupérez {Running Processes} et {Services} :
> tasklist /v > E:running_processes_service.txt - Récupérez toutes les {Connexions TCP actives} et les {Ports TCP et UDP sur lesquels l'ordinateur écoute} :
> netstat -a > E:tcp_connections_open_ports.txt - Récupérer la {table de routage} : > route print | plus > E:routing_table.txt
- Récupérez {ARP Cache} : > arp -a > E:arp_cache.txt
- Récupérer {Net Bios Over TCP/IP} (Cache & Local Names) : > nbtstat -cn > E:netbios.txt
- Récupérez {DNS Cache} : > ipconfig /displaydns > E:dns_cache.txt
- Récupérer les {sessions de connexion} (lorsque le système était allumé) : > connexion wmic > E:logon_sessions.txt
- Récupérez les {adresses d'interface IP} : > ipconfig /all > E:interface_ip_addresses.txt
- Récupérez {Installed Drivers} : > driverquery > E:installed_drivers.txt
- Récupérez les {tâches planifiées} : > schtasks > E:scheduled_tasks.txt
- Fermez CMD et éjectez le lecteur amovible.