windows应急响应

本文介绍了Windows应急响应的步骤,包括检查可疑账户、网络连接、自启动项、计划任务、资源使用情况和最近打开的文件,提供了相关工具和在线情报中心,帮助识别和处理恶意活动。
摘要由CSDN通过智能技术生成

前言:

排查思路:
一、可疑账户

1、普通账户查询
在这里插入图片描述
Windows:右键计算机管理-本地用户和组-组(查看administrator组中是否有可疑账户,记录可疑账户,事件排查完毕后删除)
快捷命令: Win+r打开cmd,输入lusrmgr.msc

2、克隆账户:复制管理员账户F项值,拥有管理员相同权限及界面的伪装用户
在这里插入图片描述
例如:Hacker 账户类型值为0x3eb,找到对应000003EB文件打开,打开F项,比对0030后的首两位值是01F4而不是03EB,可判断是克隆账户。
注:若是系统默认账户被克隆,不能直接删除,可从其他正常机器复制正常F值进行覆盖。
可用D盾工具中的克隆账户检测处理。

二、可疑连接
在这里插入图片描述
任务栏-右键-资源管理器-性能-资源监视器打开windows自带的资源监视器查看网络连接情况,若目的IP为恶意IP(在情报中心查询),可确定为恶

  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值