Hướng dẫn tham khảo nhanh phản hồi Windows Live (QG)
Khi nghi ngờ Hệ thống Windows bị xâm phạm, hãy tham khảo QRG này để triển khai thu thập dữ liệu trực tiếp. Giới thiệu: Thực hiện các bước trong QRG này ngay khi nghi ngờ hệ thống bị xâm phạm.
Khi nghi ngờ Hệ thống Windows bị xâm phạm, hãy tham khảo QRG này để triển khai thu thập dữ liệu trực tiếp.
Giới thiệu: Thực hiện các bước trong QRG này ngay khi nghi ngờ hệ thống bị xâm phạm. QRG này sẽ hướng dẫn bạn các bước thu thập dữ liệu trực tiếp. Ngoài các bước bên dưới, hãy hạn chế sử dụng trên hệ thống bị xâm nhập vì điều này sẽ sửa đổi dữ liệu của nó.
Điều kiện tiên quyết: QRG này được thiết kế để thực thi trên bất kỳ máy Windows nào có CMD.exe mà không có đặc quyền quản trị. Cần có một ổ đĩa ngoài trống với ít nhất 64 gigabyte hoặc cao hơn để sẵn sàng cho các trường hợp ứng phó sự cố.
- Tại máy trạm bị xâm nhập, hãy sử dụng sổ ghi chép để ghi lại ngày giờ hiện tại của bạn, tên người dùng của máy trạm và bất kỳ tên/số máy tính nào có thể quan sát được trên máy trạm.
- Chèn ổ đĩa ngoài sẵn sàng sử dụng vào máy trạm bị xâm nhập và xác định ký tự ổ đĩa được chỉ định của nó bằng cách đi tới “Máy tính của tôi” hoặc “PC này”, tùy thuộc vào phiên bản Windows của bạn.
- Mở menu Bắt đầu, Tìm kiếm Dấu nhắc Lệnh (CMD) và khởi chạy nó.
- Trong CMD truy xuất {Ngày hệ thống}, {Thời gian} và {Múi giờ} và xuất chúng sang ổ đĩa ngoài của bạn (trong đó “E” bằng ký tự ổ đĩa của bạn trong mã): Nhập : > echo %date% %
time % > E:\date_time.txt
Theo sau: > echo & tzutil /g >> E:date_time.txt - Truy xuất {Thông tin hệ thống}: > systeminfo > E:system_info.txt
- Truy xuất {Running Processes} và {Services}:
> tasklist /v > E:running_processes_service.txt - Truy xuất tất cả {Kết nối TCP đang hoạt động} và {Cổng TCP và UDP mà máy tính đang nghe}:
> netstat -a > E:tcp_connections_open_ports.txt - Truy xuất {Bảng định tuyến}: > route print | thêm > E:routing_table.txt
- Truy xuất {ARP Cache}: > arp -a > E:arp_cache.txt
- Truy xuất {Net Bios qua TCP/IP} (Cache & Tên cục bộ): > nbtstat -cn > E:netbios.txt
- Truy xuất {DNS Cache}: > ipconfig /displaydns > E:dns_cache.txt
- Truy xuất {Phiên đăng nhập} (Khi hệ thống đang bật): > đăng nhập wmic > E:logon_sessions.txt
- Truy xuất {Địa chỉ giao diện IP}: > ipconfig /all > E:interface_ip_addresses.txt
- Truy xuất {Trình điều khiển đã cài đặt}: > driverquery > E:install_drivers.txt
- Truy xuất {Công việc đã lên lịch}: > schtasks > E:scheduled_tasks.txt
- Đóng CMD và Tháo ổ đĩa di động.