Panduan Referensi Cepat Windows Live Response (QRG)
Setelah Mencurigai Sistem Windows Disusupi, Lihat QRG ini untuk Mengimplementasikan Pengumpulan Data Langsung. Pendahuluan: Terapkan langkah-langkah dalam QRG ini segera setelah mencurigai adanya kompromi sistem.
Setelah Mencurigai Sistem Windows Disusupi, Lihat QRG ini untuk Mengimplementasikan Pengumpulan Data Langsung.
Pendahuluan: Terapkan langkah-langkah dalam QRG ini segera setelah mencurigai adanya kompromi sistem. QRG ini akan memandu Anda melalui langkah-langkah pengumpulan data langsung. Selain langkah-langkah di bawah ini, batasi penggunaan pada sistem yang disusupi karena hal ini akan mengubah datanya.
Prasyarat: QRG ini dirancang untuk dijalankan pada mesin Windows apa pun dengan CMD.exe tanpa hak administratif. Perlu memiliki drive eksternal kosong dengan setidaknya 64 gigabyte atau lebih tinggi yang siap untuk kasus respons insiden.
- Di workstation yang dikompromikan, gunakan notebook untuk mencatat tanggal dan waktu Anda saat ini, nama pengguna workstation, dan nama/nomor komputer yang dapat diamati di workstation.
- Masukkan drive eksternal siap pakai ke workstation yang dikompromikan dan identifikasi huruf drive yang ditetapkan dengan membuka "Komputer Saya" atau "PC Ini", tergantung pada versi Windows Anda.
- Buka menu Mulai, Cari Command Prompt (CMD) dan luncurkan.
- Di CMD, ambil {System Date}, {Time}, dan {Time Zone} dan ekspor ke drive eksternal Anda (di mana "E" sama dengan huruf drive Anda dalam kode): Ketik : > echo %date% %
time % > E:\date_time.txt
Diikuti oleh: > echo & tzutil /g >> E:date_time.txt - Ambil {System Information}: > systeminfo > E:system_info.txt
- Ambil {Running Processes} dan {Services}:
> tasklist /v > E:running_processes_service.txt - Ambil semua {Active TCP Connections} dan {TCP and UDP Ports on Where the Computer is Listening}:
> netstat -a > E:tcp_connections_open_ports.txt - Ambil {Routing Table}: > route print | selengkapnya > E:routing_table.txt
- Ambil {ARP Cache}: > arp -a > E:arp_cache.txt
- Ambil {Net Bios Over TCP/IP} (Cache & Nama Lokal): > nbtstat -cn > E:netbios.txt
- Ambil {DNS Cache}: > ipconfig /displaydns > E:dns_cache.txt
- Ambil {Logon Sessions} (Saat Sistem Aktif): > wmic logon > E:logon_sessions.txt
- Ambil {IP Interface Addresses}: > ipconfig /all > E:interface_ip_addresses.txt
- Ambil {Installed Drivers}: > driverquery > E:installed_drivers.txt
- Ambil {Scheduled Tasks}: > schtasks > E:scheduled_tasks.txt
- Tutup CMD dan Keluarkan Drive yang Dapat Dilepas.
Taylor Sheridan Baru Menambahkan 1 Bintang 'Yellowstone' Favoritnya ke Pemeran 'Lawmen: Bass Reeves'