应急响应-Windows-进程排查_c# select name from win32_process

最新推荐文章于 2024-07-02 17:22:37 发布
最新推荐文章于 2024-07-02 17:22:37 发布
阅读量602 收藏 16
点赞数 21
分类专栏: 2024年程序员学习 文章标签: windows c# 开发语言
本文链接:https://blog.csdn.net/imtokenmax/article/details/137441831
版权
  • 比较直观的方法是通过【任务管理器】查看可疑程序。但是需要在打开【任务管理器】窗口后,添加【命令行】和【映射路径名称】等进程页列,如图所示,以方便获取更多的进程信息。
  • 在排查进程时,可重点关注进程的映像路径名称及命令行是否可疑,从而进一步进行排查,如图所示,程序iexplore.exe为可疑进程。
tasklist命令行排查
  • 在命令行中输入【tasklist】命令,可显示运行在计算机的所有进程,可查看进程的映像名称、PID、会话名等信息,如图所示
  • 使用【tasklist】命令并添加特定参数,还可以查看每个进程提供的服务,如添加svc参数,即输入【tasklist/svc】命令,可以显示每个进程和服务的对应情况,如图所示。
  • 对于某些恶意加载DELL的进程,可以通过输入【tasklist /m】命令进行查询,如图所示。
  • 要想查询特定DLL的调用情况,可以使用命令【tasklist /m 名称】。如图所示。输入【tasklist/m ntdll.dll】命令,可查询调用ntdll.dll模块的进程。
  • 同时,【tasklist】命令还有过滤器的功能,可以使用【fi】命令进行条件筛选,结合关系运算符【eq】(等于)、【ne】(不等于)、【gt】(大于)、【lt】(小于)、【ge】(大于等于)、【le】(小于等于)等命令进行有效过滤,如图所示。
  • 例如,查看PID为992的进程,可使用命令【tasklist /svc /fi “PID eq 992”】查看,如图所示、。
netstat 命令行

  • 在命令行中输入【netstat】命令,可显示网络链接的信息,包括活动的TCP链接、路由器和网络接口信息,是一个监控TCP/IP网络的工具。相关参数如下:

    • -a:显示所有连接和侦听端口。
  • -b:显示在创建每个连接或侦听端口时涉及的可执行程序。
  • -e:显示以太网统计信息。可以与-s结合使用。
  • -f:显示外部地址的完全限定域名(FQDN)。
  • -n:以数字形式显示地址和端口号。
  • -o:显示拥有的与每个连接关联的进程ID。
  • -p proto:显示proto指定的协议的连接。
  • -q:显示所有连接、侦听端口和绑定的非侦听TCP端口。绑定的非侦听端口不一定与活动连接相关联。
  • -r:显示路由表。
  • -s:显示每个协议的统计信息。默认情况下,显示IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP和UDPv6的统计信息。
  • -t:显示当前连接卸载状态。
  • -x:显示NetworkDirect连接、侦听器和共享终结点。
  • -y:显示所有连接的TCP连接模板。无法与其他选项结合使用。
  • interval:重新显示选的统计信息,每次显示之间暂停时间间隔(以秒计)。常见的网络状态如下。
      • LISTRNING:侦听状态
  • ESTABLISHEN:建立连接
  • CLOSE_WAIT:对方主动关闭连接或网络异常导致连接中断
  • 在排查过程中,一般会使用【netstat -ano | findstr “ESTABLISHED”】命令查看当前的网络连接,定位可以的ESTABLISHED。如图所示。在排查中发现PID为2856的进程有大量的网络连接。
  • 通过【netstat】命令定位出PID,在通过【tasklist】命令进行程序定位,发现PID为2856的进程有大量网络连接后,使用【tasklist | find “2856”】命令可查看具体的程序。
  • 也可通过【netstat -anb】命令(需要管理员权限)快速定位端口对应的程序,如图所示。

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
img
img
img
img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!

由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新

如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
img

学习路线:

这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。不过,要想从脚本小子变成黑客大神,这个方向越往后,需要学习和掌握的东西就会越来越多以下是网络渗透需要学习的内容:
在这里插入图片描述

一个人可以走的很快,但一群人才能走的更远。如果你从事以下工作或对以下感兴趣,欢迎戳这里加入程序员的圈子,让我们一起学习成长!

AI人工智能、Android移动开发、AIGC大模型、C C#、Go语言、Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算

b前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算**

imtokenmax合约众筹
关注
专栏目录
网络安全从入门到精通(特别篇I):Windows安全事件应急响应Windows应急响应基础必备技能
HACKONE的博客
04-10 234
事件发生时的状况或安全设备告警等,能帮助应急处置人员快速分析确定事件类型,方便前期准备。
Win32 API 封装类总结
bcbobo21cn的专栏
08-16 1万+
以下是一些封装的Win32 API类;备用; 重温WIN32 API ------ 最简单的Windows窗口封装类 http://blog.csdn.net/smstong/article/details/42366899 1 开发语言抉择  1.1 关于开发Win32 程序的语言选择 C还是C++ 在决定抛弃MFC,而使用纯Win32 API 开发Window桌面
应急响应Windows应急响应 - 基础命令篇
最新发布
网络安全从业者的学习笔记
07-02 1674
在如今的数字化时代,Windows系统面对着越来越复杂的网络威胁和安全挑战。本文将深入探讨在Windows环境下的实战应急响应策略。我们将重点关注实际应急响应流程、关键工具的应用,以及如何快速准确地识别和应对安全事件。通过分享实际案例分析,旨在帮助网络安全从业者提升应急响应能力,有效保护关键资产和数据的安全。
Windows应急响应基础知识/常用方法
weixin_61355725的博客
08-27 827
无法仅使用名称进入文件夹(例如:cd …不起作用),必须使用cd …WebLogic 9及以后版本:WebLogic安装路径\user_projects\domains\\servers\\logs\。安全日志:用户权限的变化、文件和目录的访问、打印以及用户系统登陆和注销,如有效或无效的登陆尝试、与资源使用有关的事件。IIS日志通常存放在%systemroot%\system32\logfiles\W3SVC1\目录。日志的存储位置于: C:\Windows\System32\winevt\Logs。
Windows 应急响应
qq_59201520的博客
05-11 316
windows系统的应急响应检测流程
应急响应基础 -- Windows,文末有彩蛋
uiuuyy67的博客
04-16 829
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。
获取单个进程CPU使用率
03-27
"SELECT * FROM Win32_Process WHERE ProcessId=" + pid); ManagementObjectCollection processList = searcher.Get(); foreach (ManagementObject obj in processList) { ManagementBaseObject mo = obj....
获取系统目前的程序进程
08-07
- 使用PowerShell:`Get-Process`命令可以获取当前系统的所有进程信息,如需获取进程名,可使用`Get-Process | Select-Object -Property Name`。 2. Linux系统: - `ps`命令:`ps aux`可以显示所有进程,`ps -ef`...
【网络编程】TCPIP协议栈的心跳、丢包重传、连接超时机制实例详解(附源码)
热门推荐
dvlinker的技术专栏
11-30 2万+
最近有个项目,客户的网络环境不太稳定,会时不时出现丢包和网络抖动的情况,导致我们软件客户端会时不时和服务器断链,导致正在进行中的视频会议会被中断。本文借此机会,结合具体的问题实例,详细讲解一下TCPIP协议栈的心跳机制、丢包重传机制等内容,给大家提供一个借鉴和参考。
应急响应基础 -- Windows,网络安全原生开发如何深入进阶
imtokenmax众筹
04-06 982
Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算**这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。
Windows安全应急响应
Libra1313的博客
05-02 742
随着网络安全的快速发展,不少的互联网公司都积极的参与到了这个领域,随着《网络安全法》颁布与实施、等保2.0的颁布等为网路安全发展提供了有力的后盾。一个事物的快速发展,也会引起其它不利的事物萌芽。不错,就是网络入侵事件的出现,说白了就是黑产。比如Facebook泄露的8700万用户数据、前程无忧招聘网站求职信息的泄露、华住下多个连锁酒店5亿信息泄露、万豪喜达屋用户信息泄露等。由此可见,数据经济时代,数据越来越走向利益化的边缘。
windows应急响应(一)
Websec
09-10 1875
常见的入侵时间的排查思路如下: 攻击类型定位->时间范围->文件分析->进程分析->系统分析->日志分析->关联分析->逻辑推理->事件总结 参考文章:http://www.freebuf.com/column/178677.html https://www.cnblogs.com/shellr00t/p/6943796.html?utm_so...
31、应急响应——Windows
qq_55202378的博客
12-12 132
分析内存首要步骤时获取内存,如果服务器时虚拟机,可以直接读取内存文件,如vmware的内存文件,直接在目录下。网络排查中还有一部分内容是路由表,查看本机是否被利用作为VPN跳板。看不到隐藏账户,使用本地用户管理也看不到隐藏账户。如果账号登录,在任务管理器中会发现相应进程。通常恶意程序会发起网络连接,从网络连接来查找恶意程序是最直接的方法。弱口令途径:3389、smb 445、http、ftp、数据库、中间件。排查windows隐藏用户,我们可以通过查看注册表下。(1)查看进程(命令行中)
应急响应实战笔记04Windows实战篇(2)
qq_59468567的博客
03-25 307
​ 蠕虫病毒是一种十分古老的计算机病毒,它是一种自包含的程序(或是一套程序),通常通过网络途径传播,每入侵到一台新的计算机,它就在这台计算机上复制自己,并自动执行它自身的程序。常见的蠕虫病毒:熊猫烧香病毒 、冲击波/震荡波病毒、conficker病毒等。
应急响应流程及windows/linux用到的命令
人若无名,便可专心练剑
03-09 385
护网面试
C# 读取电脑CPU、主板、硬盘序列号等信息
u014683488的专栏
05-08 1852
添加引用:System.Management,然后引入命名空间:using System.Management; //获取CPU序列号 public string GetCPUSerialNumber() { try { ManagementObjectSearcher searcher = new ManagementObjectSearcher("Select * From Win32_Processor"); string sCPUSerialNum
VS/C#中的ManagementClass类和获取硬件的信息的用法
GarFe的博客
03-30 981
管理类是 WMI 类,如 Win32_LogicalDisk,该类型可表示一个磁盘驱动器,并 Win32_Process,它表示的进程 Notepad.exe 等。C# 提供了ManagementClass类来获取本机的一些基本信息,比如CPU的个数,CPU的频率,网卡的MAC,内存的大小,硬盘的大小等。在.NET的项目中,有时候需要获取计算机的硬件的相关信息,在C#语言中需要利用ManagementClass这个类来进行相关操作。3.GetSubclasses():此方法存在四个重载版本。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值