hw蓝队_入侵排查

已于 2024-03-27 14:29:55 修改
阅读量362 收藏 4
点赞数 14
分类专栏: 攻击溯源|应急响应 文章标签: 网络安全 安全 计算机网络
于 2024-03-27 07:45:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Project__/article/details/137061452
版权
一、账号排查:

windows账户有三种

1、正常用户:net user 能看到

2、隐藏用户:net user 看不到,但是可以在控制面板、lusrmgr.msc、用户组中看到

3、影子用户:只有注册表中能看到(HKEY_LOCAL_MACHIINE\SAM\SAM\Domains\accoimt\users)

二、网络信息排查:
非管理员 netstat -ano

本地地址:我自己开了什么端口,谁能链接我  0.0.0.0:135 127.0.0.1:80

外部地址:谁在链接我或者我在链接谁  0.0.0.0:0   34.117.64.64:443

管理员:netstat -anob

可疑:高位端口->进程排查->win10任务管理器-详细信息 右键 列选项  PID 打开可疑端口进程文件所在位置(Win11任务管理器ui界面美化 详细信息)

三、注册表排查:

regedit(Registry注册表+editor编辑器)一个用于存储系统和应用程序的数据库

1、用户自启动项(病毒文件开机自启动)

c:\Windows\Temp忽略权限,所有用户可以进行读写

HKEY_CURRENT_USER >SOFTWARE>Microsoft>windows>CurrentVersion>run 

2、镜像劫持

四、计划任务排查:

taskschd.msc 通过任务名、任务位置等信息检查是否存在可疑任务

五、可疑服务排查:

services.msc

可疑文件:修改日期排序,使用查杀软件

注:以上操作可结合自动化工具(火绒剑)进行

zheng_ju
关注
  • 14
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
2023年HW蓝队面试题
04-26
0x01 Hvv的分组和流程 HW分为蓝队和红队,红队为常说的攻击队,蓝队为防守队。蓝队一般分为初级监测组,中级研判组,高级应急溯源组; 流程介绍:一般开始前会进行资产梳理,并通过漏洞扫描,渗透测试以及基线检查等做一些自查,一是可以减少暴漏面,二是减少一些风险点。有些厂商还会利用几天的时间进行一次内部演练,及时发现疏忽处并进行相应整改; 作为一个新手小白,主要做的就是坚守岗位,监测与甲方合作的安全厂商的一些监测设备,进行日志分析、IP封堵等,其实这些都没有什么技术含量,懂web安全和渗透测试基础的基本一看就会熟悉了,当然,部分厂商会对自己的合作伙伴们进行短期的产品培训。
HW蓝队防守思路 .pdf
04-17
HW蓝队防守思路 .pdf
蓝队分析辅助工具箱BlueTeamTools
10-19
近几年网络攻击事件越来越多,各种变形的漏洞利用payload出现,让蓝队分析难度也越来越高。此款工具重点解决蓝队分析工作中的一些痛点,比如让大家头疼的加密数据包解密问题,netstat -an无ip对应的国家与城市的物理地址问题等
蓝队网络医院网站建设专项方案书.doc
12-06
蓝队网络医院网站建设专项方案书.doc
网络安全蓝队之蜜罐篇
wangluoanquan111的博客
08-02 589
今天,我们已经了解了蜜罐是什么,各种蜜罐的工作原理,以及您可以在网络安全措施中使用的前 20 个蜜罐来对抗恶意攻击者。对于新玩家来说,安装和配置任何这些蜜罐工具都是一件容易的事,只要记住在与生产系统分开的测试网络中进行,至少在您的第一次测试中,直到您知道自己在做什么。您准备好防止更多的网络威胁了吗?立即探索您的攻击面,并在坏人之前发现您暴露了多少信息。
hw蓝队_入侵排查网络安全高级
m0_61418142的博客
04-07 324
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。(img-ORuEKRSx-1712496021004)]taskschd.msc 通过任务名、任务位置等信息检查是否存在可疑任务。学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!注:以上操作可结合自动化工具(火绒剑)进行。可疑文件:修改日期排序,使用查杀软件。因篇幅有限,仅展示部分资料。
hw蓝队_入侵排查(1),网络安全架构师教你如何突破瓶颈
m0_61418075的博客
04-07 340
2、隐藏用户:net user 看不到,但是可以在控制面板、lusrmgr.msc、用户组中看到3、影子用户:只有注册表中能看到(HKEY_LOCAL_MACHIINE\SAM\SAM\Domains\accoimt\users)
HW蓝队面试题(初、中级)
qq_63217130的博客
04-01 1724
最近朋友也在收HW简历发现很多师傅才接触以下是我以前收集再总结的蓝队hw面试题,公众号回复“面试题”,获取更多面经。
hw蓝队初级的一次面试(基础)
always_green的博客
04-04 3279
由攻击者构造的攻击链接传给服务端执行造成的漏洞。有的大型网站在web应用上提供了从其他服务器获取数据的功能(比如获取别的网站的tittle等信息的)。使用户指定的URL web应用获取图片,下载文件,读取文件内容(这些东西都是外网访问不到的内网资源)。攻击者利用有缺陷的web应用作为代理攻击远程和内网的服务器(跳板)。XSS(Cross-Site Scripting)跨站脚本。CSRF:跨站请求攻击(XSRF)他还问了一个端口忘了是啥了透。SSRF:服务端请求伪造。
2023HW蓝队面试题汇总
04-26
1.设备误报如何处理? 1.来自外网的误报说明安全设备需要进行策略升级,不需要处置。 2.如果是来自内网的误报可以和负责人协商一下看能不能解决。 2.如何区分扫描流量和手工流量? 扫描流量数据量大,请求流量有规律...
HW蓝队总结模板.docx
08-23
护网HW工作总结报告
HW-蓝队工作流程(1)
m0_37638874的博客
08-10 7842
由多领域安全专家组成攻击队,在保障业务系统安全的前提下,直接在真实网络环境开展对抗,对参演单位目标系进行可控、可审计的网络安全实战攻击,通过攻防演习检验参演单位的安全防护和应急处置能力,提高网络安全的综合防控能力。近几年我国相继举办了几次较大规模的护网行动,由多个行业单位和监管单位组织相关演习工作,通过实战网络攻击的形式检验我国关键信息基础设施安全防护和应急处置能力,取得了十分显著的效果,督促各单位有效提升了网络安全防护水平。,结合安全人员的分析,可快速发现攻击行为,并提前做出针对性防守动作。.......
网络安全蓝队常用工具详解
m0_61869253的博客
08-30 1196
这个github存储库包含了和,可以用于。有些工具可能是专门为蓝色团队设计的,而其他工具则更通用,可以在蓝色团队上下文中进行调整使用。*本资料库中的资料仅供参考及教育用途。它们不打算用于任何非法活动。
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8279
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
安全生产月”专题报道:AI智能监控技术如何助力安全生产
TSINGSEE青犀视频官方技术博客
06-04 908
方案能够通过对人员行为的识别和分析,判断是否存在安全隐患。这些功能的实现,有助于企业提高安全管理水平,减少因人为因素导致的安全事故。
应用程序加固的优势及其在移动应用安全中的重要性
gulu230220的博客
06-05 389
通过提升应用程序的安全性、防止应用程序被篡改、提高应用程序的抗攻击能力、保护应用程序的知识产权和提升用户体验和信任度,加固技术可以有效保障移动应用的安全和稳定,为用户提供更加安全和可靠的移动应用服务。通过加固应用程序的安全漏洞和弱点,加固技术可以防止黑客利用已知的攻击手段和工具对应用程序进行攻击,提高应用程序的安全性和稳定性。通过加密和混淆应用程序的源代码和关键算法,加固技术可以防止黑客和竞争对手获取应用程序的源代码和商业机密,保护开发者的创新成果和商业利益。应用程序加固能够有效提升移动应用程序的安全性。
读书笔记-《软件定义安全》之二:SDN/NFV环境中的安全问题
wuxiaobing1234的博客
06-07 711
南向协议主要侧重于南向接口上的数据转发、网络配置、数据平面信息收集等功能。OpenFlow协议OpenFlow是SDN的标志性技术,他体现了SDN的核心思想:控制与转发分离。它通过流表控制技术支持用户对数据流行为进行控制。OpenFlow交换机根据流表来转发数据包,代表数据转发平面;控制器通过全网络视图来实现管控功能,其控制逻辑表示控制平面。OpenFlow协议的发展演进一直都围绕着两个方面,一方面是控制平面的增强,让系统功能更丰富、更灵活;
纷享销客安全体系:数据安全
最新发布
fxiaoke_com的博客
06-07 566
纷享销客CRM系统部署了综合性的防勒索软件系统,该系统融合了网络分区、访问控制以及备份解决方案等多重防护措施,旨在有效应对针对企业的勒索软件攻击,从而确保企业数据的安全性和业务的连续性。同时,公司积极响应数据主体的各种隐私权利要求,如访问权、更正权和删除权等,确保个人信息安全、机密,并防止任何未经授权的访问和滥用行为的发生。当租户发出请求时,系统要求携带经过高标准加密的身份信息,以便数据隔离算法能够精确识别不同租户的请求,并据此决定数据的存储与读取路径,从而满足租户间数据隔离的严格需求。
hw蓝队中高级面试题
06-01
HW蓝队中的高级面试题包括但不限于以下几个方面: 1. 网络安全基础知识:例如TCP/IP协议、网络攻防技术、网络拓扑结构等。 2. 操作系统和编程语言:例如Linux操作系统、Windows操作系统、C/C++/Python编程语言等。 3. 安全工具使用:例如Wireshark、Nmap、Metasploit、Burp Suite等。 4. 安全漏洞挖掘:例如Web漏洞挖掘、二进制漏洞挖掘等。 5. 安全应急响应:例如应急响应流程、攻击分析、取证技术等。 6. 安全体系架构设计:例如安全策略设计、安全设备选型、安全防御架构设计等。 以上只是一些常见的高级面试题,具体问题还需根据面试官的要求而定。希望能对您有所帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值