一：日常巡检:

1.日志:

         a：事件查看器中，查看日志。应用程序，安全性，系统，观察是否被***。

         b：查看历史记录在c:\DOCUMENTS AND SETTINGS

         c:修改后门账号密码。进去查看历史浏览网页等一些东西

2.进程，端口，网络连接，服务:

          a：tasklisk 查看进程

          b:netstatt -an 查看端口连接状态

          c:使用一些安全工具，分析后台***等

         d:在服务中，查看是否插入了系统进程。。

4.cpu，内存，流量:

           

           可能用服务器发动DDOS***，或者扫描其它服务器，导致cpu，内存达到峰值

5.用户:

          a:在cmd中使用net user 

          b:管理，本地用户组，用户。观察里面用户账号

          c:在注册表：HKEY_LOCAL_MACHINE --> software  --> microsoft -->  windows nt --> 

              currentversion --> profilelist中 快速检测以前存在过哪些账号

          d:在注册表中查看安装软件记录HKEY_LOCAL_MACHINE --> software  --> microsoft -->                    windows nt --> currentversion -->uninstall中

6.以及其他一些细节

               a:***者软件基本放在在c:\windows中，搜索*.exe来排查（显示系统属性文件，有

                   可能用attrib来更改属性）

               b:禁用掉***者可能利用的系统工具。如net,attrib等

               c:在注册表里查看启动项

二：应急响应报告:

 框架大概：

                                                                       目录

1概况

2工作描述

2.1网络和服务器情况

2.2被***情况

2.3***检查过程

2.3.1C盘存在***上传的文件

2.3.2对前段部分web网站http日志进行分析

2.3.3查看系统隐藏进程

2.3.4对系统进行sniffer抓包

2.3.5对服务器安全日志进行分析

3综合分析

4改进建议

三：简单预案方法:

1. 迅速隔离感染病毒的系统

2. 如果怀疑是病毒，则应该尽快将奥组委的网络和外网隔离。在断开与外网的连接之前，与LAN 、WAN的管理员一起确定最好的方案；

3. 尽快通知信息安全管理小组，如果10分钟内不能联系到信息安全管理小组,则联系备份人员；

4. 在一小时之内通知信息安全分管领导，如果必要，信息安全分管领导应该向上级汇报；

5. 在2小时之内通知相关的主机管理员/网络管理员

6. 在等待主机管理员/网络管理员/过程中，尝试去追溯***来源，并确定究竟有多少系统受到影响。备份系统的日志文件和其他相关的文件；

7. 信息安全管理小组决定下一步应该做的工作，并分配做相应工作的人员；

8. 如果必要的话，信息安全管理小组应该向上级汇报，并在安全调查的基础上写出事件总结报告，送交相应的管理人员。