Guida di riferimento rapido di Windows Live Response (QRG)

In caso di sospetto di compromissione di un sistema Windows, fare riferimento a questo QRG per implementare la raccolta di dati in tempo reale.

Introduzione: implementare i passaggi in questo QRG immediatamente quando si sospetta una compromissione del sistema. Questo QRG ti guiderà attraverso i passaggi della raccolta di dati in tempo reale. A parte i passaggi seguenti, limitare l'utilizzo sul sistema compromesso in quanto ciò ne modificherà i dati.

Prerequisiti: questo QRG è progettato per essere eseguito su qualsiasi macchina Windows con CMD.exe senza privilegi amministrativi. È necessario disporre di un'unità esterna vuota con almeno 64 gigabyte o superiore pronta per i casi di risposta agli incidenti.

• Sulla workstation compromessa, utilizzare un taccuino per registrare la data e l'ora correnti, il nome utente della workstation e qualsiasi nome/numero di computer osservabile sulla workstation.
• Inserisci l'unità esterna pronta per l'uso nella workstation compromessa e identifica la lettera di unità assegnata andando su "Risorse del computer" o "Questo PC", a seconda della versione di Windows.
• Apri il menu Start, cerca Prompt dei comandi (CMD) e avvialo.

1. In CMD recupera {System Date}, {Time} e {Time Zone} ed esportali sull'unità esterna (dove "E" corrisponde alla lettera dell'unità nel codice): Digita: > echo %date% %
   time % > E:\date_time.txt
   Seguito da: > echo & tzutil /g >> E:date_time.txt
2. Recupera {Informazioni di sistema}: > systeminfo > E:system_info.txt
3. Recupera {processi in esecuzione} e {servizi}:
   > tasklist /v > E:running_processes_service.txt
4. Recupera tutte le {connessioni TCP attive} e le {porte TCP e UDP su cui il computer è in ascolto}:
   > netstat -a > E:tcp_connections_open_ports.txt
5. Recupera {Tabella di instradamento}: > route print | altro > E:routing_table.txt
6. Recupera {ARP Cache}: > arp -a > E:arp_cache.txt
7. Recupera {net bios su TCP/IP} (cache e nomi locali): > nbtstat -cn > E:netbios.txt
8. Recupera {cache DNS}: > ipconfig /displaydns > E:dns_cache.txt
9. Recupera {Sessioni di accesso} (mentre il sistema era acceso): > wmic logon > E:logon_sessions.txt
10. Recupera {Indirizzi interfaccia IP}: > ipconfig /all > E:interface_ip_addresses.txt
11. Recupera {Driver installati}: > driverquery > E:installed_drivers.txt
12. Recupera {Attività pianificate}: > schtasks > E:scheduled_tasks.txt
13. Chiudere CMD ed espellere l'unità rimovibile.