windows应急响应

最新推荐文章于 2024-07-15 15:11:18 发布
最新推荐文章于 2024-07-15 15:11:18 发布
阅读量712 收藏 5
点赞数
分类专栏: windows 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Kyl2n/article/details/103861178
版权
本文介绍了Windows应急响应的步骤,包括检查可疑账户、网络连接、自启动项、计划任务、资源使用情况和最近打开的文件,提供了相关工具和在线情报中心,帮助识别和处理恶意活动。
摘要由CSDN通过智能技术生成

前言:

排查思路:
一、可疑账户

1、普通账户查询
在这里插入图片描述
Windows:右键计算机管理-本地用户和组-组(查看administrator组中是否有可疑账户,记录可疑账户,事件排查完毕后删除)
快捷命令: Win+r打开cmd,输入lusrmgr.msc

2、克隆账户:复制管理员账户F项值,拥有管理员相同权限及界面的伪装用户
在这里插入图片描述
例如:Hacker 账户类型值为0x3eb,找到对应000003EB文件打开,打开F项,比对0030后的首两位值是01F4而不是03EB,可判断是克隆账户。
注:若是系统默认账户被克隆,不能直接删除,可从其他正常机器复制正常F值进行覆盖。
可用D盾工具中的克隆账户检测处理。

二、可疑连接
在这里插入图片描述
任务栏-右键-资源管理器-性能-资源监视器打开windows自带的资源监视器查看网络连接情况,若目的IP为恶意IP(在情报中心查询),可确定为恶

最低0.47元/天 解锁文章
Kyl2n
关注
专栏目录
《网络安全自学教程》- Windows应急响应排查思路
wangyuxiang946的博客
04-17 1万+
结合实战案例逐步讲解Windows应急响应排查思路及具体操作步骤
Windows应急响应
m0_67401055的博客
05-15 3069
转载至奇安信攻防社区-Windows应急响应Windows应急响应篇 本篇主要以windows应急响应的基础技术手段进行介绍。 一、概述: 近年来,随着互联网的发展网络安全攻击事件也是大幅度增多,如何在第一时间发现攻击事件,并实施应急处置,能够有效的将损失降到最低。在实施应急响应的过程中,需要从多方面进行联动工作,具体的流程和依据可以参考《GB∕T 38645-2020 信息安全技术 网络安全事件应急演练指南》,本篇主要以windows应急响应的基础技术手段进行介绍。 二、技术分析 1、准备工作 在
Windows应急响应(超详细)
最新发布
csjjjd的博客
07-15 1154
要进行应急响应,通俗来讲,首先你得知道攻击你的是啥。常见的攻击归类如下:1.系统入侵:病毒木马、勒索软件、远控后门2.web入侵:网页挂马、主页篡改、Webshell 3.网络攻击:DDOS攻击、DNS劫持、ARP欺骗这个在应急响应整个流程里面还是相对容易的,比如你的网站出事了,被人挂了马或图片,很明显就是web入侵。如果你被勒索或者被挖矿,或者病毒入侵,都可以视为系统入侵,因为已经打到了你的系统层面,可以调用你的一些系统权限,很明显就是一个系统入侵。网络攻击查看一手流量分析,实时监控网络就可以看出,不必多
1.Windows入侵排查思路
weixin_30251829的博客
08-15 689
0x00 前言 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。 常见的应急响应事件分类: web入侵:网页挂马、主页篡改、Webshell 系统入侵:病毒木马、勒索软件、远控后门 网络攻击:DD...
应急响应.windows
newlife1441的博客
08-19 1632
应急响应是指针对已经发生或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全。主要是为了人们对网络安全有所认识、有所准备,以便应对突发的网络安全事件windowsWeb 入侵:网页挂马、主页篡改、Webshell系统入侵:病毒木马、勒索软件、远控后门网络攻击:DDOS 攻击、DNS 劫持、ARP 欺骗。
Linux &Windows应急响应手册.pdf
12-08
Linux &Windows应急响应手册.pdf
Windows应急响应手册
02-21
### Windows应急响应手册知识点概述 #### 一、Windows操作系统安全挑战 - **封闭性带来的问题**:Windows作为一款闭源操作系统,在一定程度上为用户提供了稳定性和兼容性等优点,但同时也给安全研究人员带来了一定...
Windows应急响应手册v1.0
02-04
### Windows应急响应手册v1.0 #### 一、概览 《Windows应急响应手册v1.0》是一本详尽介绍了Windows系统下网络安全事件应急处理流程与技术手段的手册。该手册覆盖了多种应急场景,并针对不同版本的Windows操作系统...
应急响应-分析(windows
tlucky的博客
07-20 799
恶意代码在windows系统中运行过程中,将以进程的方式进行展示,其中恶意进程进行着各种恶意行为,对于可执行程序,可以直接使用杀毒软件进行查杀,但是并非所有的恶意进程都能够被查杀,此时可以手动查杀,使用工具psexplore,然后利用virustotal.com进行分析,对恶意相关的服务进行关闭。如果修改时间要早于创建时间那么这个文件存在很大可疑,使用中国菜刀等工具修改的,修改时间通过文件属性可以查到创建时间,修改时间,访问时间。右击文件,属性,查看文件创建时间、修改时间、访问时间。......
Windows应急响应
浅时光-Trister
02-23 762
常见的应急响应事件分类: web入侵:网页挂马、主页篡改、Webshell 系统入侵:病毒木马、勒索软件、远控后门 网络攻击:DDOS攻击、DNS劫持、ARP欺骗 1.1、系统账户相关 查看服务器是否有弱口令,远程管理端口是否对公网开放。 查看服务器是否有可疑账号,新增账号。 查看账号的方法: 1、net user (无法列出$用户) 2、lusrmgr.exe(无法找到注册表方式建立的用户) 3、查看注册表(最准确)HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Us
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值