怎么虚拟机搭建个mi-guan分析对方进来做的一切操作

gcbshebei

虚拟机2003系统，对外开放21,80,139,135,445,1433,3306,5631,4899等端口，系统各口令均设置弱口令，web搭建几个小型站点，留下明显的ewebeditor,admin等文件夹。

1、针对iis的扫描可以从日志中得到，整理也可以得到对方扫描了什么路径，甚至可以完整得到对方字典；
2、对于ftp,rdp等发现另外开启一个虚拟机，cainmi-guan机器可以得到对方密码登陆记录，但是rdp的局限性大；
3、对于sql漏洞等被对方利用，想知道对方从哪些ip过来，什么途径过来，进来做了什么操作，上传下载的文件是否可以及时同局域网备份留样，求指点。