Windows入侵排查

最新推荐文章于 2024-03-21 14:51:46 发布
最新推荐文章于 2024-03-21 14:51:46 发布
阅读量133 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HLJinFFF/article/details/115334863
版权

Windows入侵排查

账号

  • 打开cmd,输入net user 查看存在账户
  • 打开运行,输入regedit打开注册表,在HKEY_LOCAL_MACHINE>SAM>SAM>Domains>Account>Users>Names下查看存在的账户(如果进不去,修改文件夹权限为Administrator完全控制),并检查对应F值。
  • 打开运行,输入eventvwr.msc,打开日志界面,导出日志,可以使用LogParser进行分析。
    Logparser使用教程
  • D盾,PC Hunter等工具

进程

  • 打开cmd,输入netstat -ano,查找可疑的ESTABLISHED
  • 打开运行,输入msinfo32,可以看到正在运行的程序
    用定位PID定位进程:tasklist | findstr “pid”
    用端口定位进程:netstat -ano | findstr “port”
    强制杀死进程:taskkill /pid 123 /f
  • 工具
    lastactivityview
    processhacker
    processexplorer
    D盾
  • 可疑进程
没有签名验证信息的进程
没有描述信息的进程
属主异常的进程
路径不合法的进程
CPU或内存资源 长时间或过高占用的进程
存在异常活动连接的进程

启动项

  • WIN+R输入regedit打开注册表,进入HKLM>SOFTWARE>Windows>CurrnetVersion下的Run和RunOnce
  • WIN+R输入regedit打开注册表,进入HKEY_CURRENT_USER>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
  • 打开cmd,输入wmic startup list full
  • 打开cmd,输入msconfig或任务管理器
  • 工具使用
    PC Hunter,Autoruns

计划任务

  • 打开注册表,进入HKLM>SOFTWARE>Microsoft>Window NT>CurrentVersion>Schedule>Task Cache>Free
  • 打开cmd,输入schtasks /query
  • 打开运行,输入services.msc

Webshell查杀

D盾
河马
深信服Webshell
火绒剑

别看了滚出克
关注
【Window 入侵排查
Beret-81的博客
01-31 2253
通过PowerShell进行查询最常用的两个命令是【Get-EventLog】和【Get-WinEvent】,两者的区别是【Get-EventLog】只获取传统的事件日志,而【Get-WinEvent】是从传统的事件日志(如系统日志和应用程序日志)和新Windows事件日志技术生成的事件日志中获取事件,其还会获取Windows事件跟踪(ETW)生成的日志文件中的事件。Windows系统中的进程排查,主要是找到恶意进程的PID、程序路径,有时还需要找到PPID(PID的父进程)及程序加载的DLL。
windows入侵排查
最新发布
江小白
07-02 1100
msinfo32 命令①系统信息工具:输入 msinfo32 命令,打开系统摘要信息窗口② 正在运行的任务:系统摘要 ->软件环境 ->正在运行的任务,可以看到正在运行的任务名称、路径、进程ID等信息③ 服务:在系统摘要 ->软件环境 -> 服务 选项,查看服务的名称、状态、路径等信息④ 系统驱动程序:软件环境 -> 系统驱动程序,可以查看系统驱动程序的名称、描述、文件等信息⑤ 加载的模块:软件环境 ->加载的模块,查看加载的模块的名称、路径等信息。
windows日志分析#linux日志分析#web日志分析#windows入侵排查#linux入侵排查
09-01
本篇文章将深入探讨Windows、Linux以及Web日志分析和相关入侵排查的知识点。 首先,我们来看Windows日志分析。Windows操作系统提供了事件查看器(Event Viewer)工具,它收集并记录了系统、应用程序、安全、设置和...
渗透测试基础- - -windows入侵排查
weixin_67503304的博客
10-28 2195
本文主要讲述了在我们日常生活中遇到windows入侵后的排查步骤,以便更好的溯源。
应急响应篇:windows入侵排查
yj520400的博客
03-21 1518
的存在,在入侵系统后,攻击者可以在计算机上开启专属的端口来访问被害主机或植入病毒用于挖矿等,熟悉计算机的朋友应该都知道常用的端口也就那么几个,所以通过排查可疑端口能确定主机是否存在后门、是否被植入挖矿病毒等,再根据端口的PID对可疑进程对应的程序排查,确定是否为恶意程序。webshell和病毒都是windows系统的大敌,它们可以维持攻击者的系统权限、盗窃资料、感染其他主机、加密文件等,对操作系统造成非常大的危害。而与此同时操作系统也会出现异常,包括账户、端口、进程、网络、启动、服务、任务以及文件等,
windows入侵排查(操作截图).doc
07-10
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为...
第1篇:windows 入侵排查
大熊
06-09 541
应急响应
Window入侵排查思路
qq_46202048的博客
04-03 7208
一、开机启动项 1、在Windows系统中查看启动项,首先要排查的就是开机自启项。 • 开始菜单里的程序中的自启 • C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup • 查看应用程序中是否存在陌生的程序或者可疑程序(非机主自己安装)。 2、可以通过msconfig查看启动项,win10系统的启动项转移到任务管理器中查看了 • 查看是否存在可疑项 3、查看缓存文件 C盘一般在C
1.Windows入侵排查思路
weixin_30251829的博客
08-15 697
0x00 前言 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。 常见的应急响应事件分类: web入侵:网页挂马、主页篡改、Webshell 系统入侵:病毒木马、勒索软件、远控后门 网络攻击:DD...
浅谈Windows入侵
weixin_34311757的博客
11-25 470
1 准备工作 查人员应该可以物理接触可疑的系统。因为黑客可能侦测到你可以在查系统,例如网络监听,所以物理接触会比远程控制更好。 为了当做法庭证据可能需要将硬盘做实体备份。如果需要,断开所有与可疑机器的网络连接。 做入侵查时,查人员需要一台PC对查的过程进行查项目的结果记录。 请维护可疑服务器人员或者PC使用人员来配合,来确定机器上运行的服务和安装的软件,便于安全查人员提...
Windows环境黑客入侵应急与排查
liguangyao213的博客
10-28 868
1 文件分析 1.1 临时目录排查 黑客往往可能将病毒放在临时目录(tmp/temp),或者将病毒相关文件释放到临时目录,因此需要查临时目录是否存在异常文件。 假设系统盘在C盘,则通常情况下的临时目录如下: C:\Users\[用户名]\Local Settings\Temp C:\Documents and Settings\[用户名]\Local Settings\Temp C:...
windows系统入侵排查思路
剁椒鱼头没剁椒的博客
06-21 4920
windows系统服务器入侵排查的思路
window入侵排查
u012207466的博客
06-12 2437
## 第1篇:window入侵排查 常见的应急响应事件分类: web入侵:网页挂马、主页篡改、Webshell、后台弱口令 系统入侵:病毒木马、勒索软件、远控后门、系统命令执行、反序列化漏洞 网络攻击:DDOS攻击、DNS劫持、ARP欺骗 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Window服务器入侵排查的思路。 ### 0x01 入侵排查思路 ####...
网络安全应急响应----2、Windows入侵排查
七天
03-17 6210
文章目录一、系统排查1、系统信息2、​​用户信息3、启动项4、计划任务5、服务自启动二、进程、端口排查1、进程排查2、端口排查三、文件痕迹排查1、敏感目录文件2、基于时间点查找四、日志分析1、系统日志2、安全性日志3、应用程序日志五、内存分析六、流量分析 一、系统排查 1、系统信息 //可以显示本地计算机的硬件资源、组件、软件环境、正在运行的任务、服务、系统驱动程序、加载模块、启动程序等。 C:\Users\test>msinfo32 //Microsoft系统信息工具:Msinfo32.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值