【应急响应】Windows应急响应操作手册

最新推荐文章于 2022-02-23 09:17:37 发布
最新推荐文章于 2022-02-23 09:17:37 发布
阅读量1.1k 收藏 9
点赞数
分类专栏: 【应急响应】 # Windows应急响应

查看表征异常

系统卡慢、宕机、CPU和内存占用高、网络拥塞或断网、磁盘空余空间无理由大幅度缩小等,根据以上表征,可以初步猜测系统面临的问题。

windows 下查看系统基本信息

PS C:\Users\bobac\Desktop> systeminfo

windows 下查看CPU和内存消耗

根据下图可以进行倒序排列

或者使用命令

PS C:\Users\bobac\Desktop> tasklist /V > 1.txt

windows 下查看网络通信情况

入侵点异常排查

看连接

PS C:\Users\bobac\Desktop> netstat -abo | findstr TCP
  TCP    0.0.0.0:135            WIN-8JQH4CQEJIR:0      LISTENING       708
  TCP    0.0.0.0:445            WIN-8JQH4CQEJIR:0      LISTENING       4
  TCP    0.0.0.0:49152          WIN-8JQH4CQEJIR:0      LISTENING       376
  TCP    0.0.0.0:49153          WIN-8JQH4CQEJIR:0      LISTENING       760
  TCP    0.0.0.0:49154          WIN-8JQH4CQEJIR:0      LISTENING       884
  TCP    0.0.0.0:49155          WIN-8JQH4CQEJIR:0      LISTENING       484
  TCP    0.0.0.0:49156          WIN-8JQH4CQEJIR:0      LISTENING       1716
  TCP    0.0.0.0:49157          WIN-8JQH4CQEJIR:0      LISTENING       492
  TCP    172.16.204.128:139     WIN-8JQH4CQEJIR:0      LISTENING       4
  TCP    [::]:135               WIN-8JQH4CQEJIR:0      LISTENING       708
  TCP    [::]:445               WIN-8JQH4CQEJIR:0      LISTENING       4
  TCP    [::]:49152             WIN-8JQH4CQEJIR:0      LISTENING       376
  TCP    [::]:49153             WIN-8JQH4CQEJIR:0      LISTENING       760
  TCP    [::]:49154             WIN-8JQH4CQEJIR:0      LISTENING       884
  TCP    [::]:49155             WIN-8JQH4CQEJIR:0      LISTENING       484
  TCP    [::]:49156             WIN-8JQH4CQEJIR:0      LISTENING       1716
  TCP    [::]:49157             WIN-8JQH4CQEJIR:0      LISTENING       492
PS C:\Users\bobac\Desktop>

看进程

PS C:\Users\bobac\Desktop> tasklist | findstr 1716
svchost.exe                   1716 Services                   0     18,232 K
PS C:\Users\bobac\Desktop>

看服务

PS C:\Users\bobac\Desktop> tasklist /SVC

映像名称                       PID 服务
========================= ======== ============================================
System Idle Process              0 暂缺
System                           4 暂缺
smss.exe                       244 暂缺
csrss.exe                      324 暂缺
wininit.exe                    376 暂缺
services.exe                   484 暂缺
lsass.exe                      492 SamSs
lsm.exe                        500 暂缺
svchost.exe                    600 DcomLaunch, PlugPlay, Power
vmacthlp.exe                   668 VMware Physical Disk Helper Service
svchost.exe                    708 RpcEptMapper, RpcSs
svchost.exe                    760 AudioSrv, Dhcp, eventlog, lmhosts, wscsvc
svchost.exe                    852 AudioEndpointBuilder, CscService, Netman,
                                   PcaSvc, TrkWks, UxSms
svchost.exe                    884 Appinfo, Browser, gpsvc, IKEEXT, iphlpsvc,
                                   LanmanServer, ProfSvc, Schedule, SENS,
                                   ShellHWDetection, Themes, Winmgmt, wuauserv
svchost.exe                    272 EventSystem, netprofm, nsi, sppuinotify,
                                   WdiServiceHost
svchost.exe                    496 CryptSvc, Dnscache, LanmanWorkstation,
                                   NlaSvc
spoolsv.exe                   1144 Spooler
svchost.exe                   1172 BFE, DPS, MpsSvc
VGAuthService.exe             1332 VGAuthService
vmtoolsd.exe                  1392 VMTools
svchost.exe                   1668 bthserv
svchost.exe                   1716 PolicyAgent
TPAutoConnSvc.exe             1808 TPAutoConnSvc
dllhost.exe                   1988 COMSysApp
msdtc.exe                     1212 MSDTC
WmiPrvSE.exe                  1064 暂缺
SearchIndexer.exe             2888 WSearch
svchost.exe                   2896 FontCache
sppsvc.exe                    1868 sppsvc
ManagementAgentHost.exe       2492 VMwareCAFManagementAgentHost
svchost.exe                    904 WinDefend
csrss.exe                     3656 暂缺
winlogon.exe                  3668 暂缺
taskhost.exe                  2708 暂缺
dwm.exe                       3844 暂缺
explorer.exe                  3836 暂缺
TPAutoConnect.exe             3212 暂缺
conhost.exe                   3980 暂缺
vmtoolsd.exe                  2500 暂缺
cmd.exe                       2744 暂缺
conhost.exe                   2768 暂缺
PCHunter64.exe                1068 暂缺
taskmgr.exe                   1352 暂缺
powershell.exe                3360 暂缺
conhost.exe                   2640 暂缺
notepad.exe                   2652 暂缺
tasklist.exe                  3356 暂缺
PS C:\Users\bobac\Desktop>

看动态链接库

C:\Windows\system32>tasklist /M > 2.txt

看日志

进程日志和登录日志

路径 C:\Windows\System32\winevt\Logs

登录日志

系统日志

服务日志或WEB日志

请配置syslog,WEB日志也是文件,可以使用自动化分析工具

看注册表

查看启动项和计划任务

看账户

看防火墙配置

 

FLy_鹏程万里
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
应急响应Windows应急响应手册(准备阶段、挖矿病毒)
做自己喜欢的事,并将其发挥到极致!
07-16 760
本篇文章主要以WIndows系统为例围绕红蓝对抗和攻防角度实施应急响应的技术手段,以多方面、多维度进行展开,对于常见的应急事件所采取的应对措施进行阐述,希望对从事网安工作的小伙伴们有所帮助!
Windows应急响应操作手册
weixin_30906701的博客
07-10 791
查看表征异常 系统卡慢、宕机、CPU和内存占用高、网络拥塞或断网、磁盘空余空间无理由大幅度缩小等,根据以上表征,可以初步猜测系统面临的问题。 windows 下查看系统基本信息 PS C:\Users\bobac\Desktop> systeminfo ...
windows应急响应
02-24
windows应急响应
windows 查看进程_应急响应手册Windows排查流程
weixin_39883906的博客
11-25 514
溯源系列文章已经写完,其他姿势可以私下交流。今天接之前目录内容继续。应急响应手册-溯源篇(一)应急响应手册-溯源篇(二)应急响应手册-溯源篇(三)应急响应手册-溯源篇(四)01—系统用户排查点:(1)当前登录账号的登录时间(2)克隆账号、隐藏账号(3)Guest账号查看当前已登录账户 query user如果该台主机被远程登录,执行query user可以看到会话名字段包含rdp字符 ...
C 怎么处理windows路径_应急响应手册Windows系统进程介绍
weixin_39947501的博客
11-21 347
“本篇介绍Windows系统上常见进程”应急响应手册-概念介绍(一)应急响应手册-概念介绍(二)应急响应手册-概念介绍(三)01—smss.exesmss.exe(会话管理器)是Windows系统中第一个创建的用户模式进程,随着系统一起启动。位于C:\Windows\System32\smss.exe。在Windows启动的过程中,smss.exe作用过程分为7个步骤:(1)创建LPC...
Windows应急响应手册
02-21
### Windows应急响应手册知识点概述 #### 一、Windows操作系统安全挑战 - **封闭性带来的问题**:Windows作为一款闭源操作系统,在一定程度上为用户提供了稳定性和兼容性等优点,但同时也给安全研究人员带来了一定...
Windows应急响应手册v1.0
02-04
### Windows应急响应手册v1.0 #### 一、概览 《Windows应急响应手册v1.0》是一本详尽介绍了Windows系统下网络安全事件应急处理流程与技术手段的手册。该手册覆盖了多种应急场景,并针对不同版本的Windows操作系统...
Windows 应急响应手册v1.2
最新发布
07-17
### Windows 应急响应手册v1.2更新与改进概览 #### 更新背景与意义 在最新的《Windows 应急响应手册v1.2》版本中,开发团队针对之前版本中存在的重大问题进行了全面修复,并增加了新的功能模块。此次更新不仅提高了...
勒索病毒应急响应自救手册.docx
06-10
勒索病毒应急响应自救手册 勒索病毒应急响应自救手册是指在遭遇勒索病毒攻击后,如何快速响应、处置和恢复数据的指南。该手册涵盖了常见的勒索病毒种类、判断病情的方法、自救和恢复数据的步骤等。 常见勒索病毒...
1.Windows入侵排查思路
weixin_30251829的博客
08-15 680
0x00 前言 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。 常见的应急响应事件分类: web入侵:网页挂马、主页篡改、Webshell 系统入侵:病毒木马、勒索软件、远控后门 网络攻击:DD...
运维应急操作手册V1.0(参考,这里需要写具体操作步骤的)
03-27
运维应急操作手册V1.0(参考,这里需要写具体操作步骤的):1、定位故障级别、每个级别具体操作;2、能快速降低故障处理时间
Windows应急响应
浅时光-Trister
02-23 748
常见的应急响应事件分类: web入侵:网页挂马、主页篡改、Webshell 系统入侵:病毒木马、勒索软件、远控后门 网络攻击:DDOS攻击、DNS劫持、ARP欺骗 1.1、系统账户相关 查看服务器是否有弱口令,远程管理端口是否对公网开放。 查看服务器是否有可疑账号,新增账号。 查看账号的方法: 1、net user (无法列出$用户) 2、lusrmgr.exe(无法找到注册表方式建立的用户) 3、查看注册表(最准确)HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Us
Windows应急响应手册:深入攻防策略解析
Windows应急响应手册》是一本专注于Windows操作系统的网络安全应急响应指南,特别关注于这个广泛使用的操作系统所面临的挑战。由于Windows作为闭源系统,其内部工作原理对研究人员而言较为复杂,特别是对于攻击者...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值