windows应急响应基本思路

最新推荐文章于 2024-09-16 21:11:51 发布
最新推荐文章于 2024-09-16 21:11:51 发布
阅读量161 收藏 1
点赞数
文章标签: windows 服务器 运维 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lay77/article/details/132914722
版权

目录

一、系统排查

1、系统信息

2、用户信息

3、 启动项

4 、任务计划

二、进程排查

三、服务排查

四、文件痕迹排查

1.敏感目录

2.时间点查找

3 .webshell文件

五、日志分析

1.系统日志

2.安全性日志

3.应用程序日志

4.日志分析

六、内存分析

1 .内存的获取

2 .内存的分析

七、流量分析

八、威胁情报

一、系统排查

1、系统信息

系统信息工具:msinfo32.exe

使用命令行:

msinfo32   //查询计算机硬件和软件配置的详细信息

进行以下信息的排查:

系统驱动(描述、文件、开启状态等)
正在运行的任务(名称、路径、进程ID)
加载的模块
服务(名称、路径、状态等)
启动程序(命令、用户名、位置等)

systeminfo   //查看系统信息
 

2、用户信息
 

net user
net user username
 

3、 启动项
 

通过检查启动项,可以发现隐藏的恶意软件、后门程序、恶意脚本等
 

任务管理器 - 启动项
 

注册表
 

HKEY_CLASSES_ROOT    //确保在Windows资源管理器中执行时打开正确的程序
HKEY_CURRENT_USER    //登录用户的配置、有用户的文件夹、屏幕颜色、控制面板设置
HKEY_LOCAL_MACHINE   //计算机硬件信息、驱动
HKEY_USERS           //所有用户配置文件的配置信息
HKEY_CURRENT_CONFIG  //系统当前配置
 

 

4 、任务计划
 

    
 
  •  
    攻击者可利用任务计划实现病毒的长期驻留
     
    • 

 

计算机管理 → 任务计划程序 → 任务计划程序库 

 

powershell → Get-ScheduledTask 
cmd → schtasks
 

 

二、进程排查
 

    
 
  •  
    进程:系统资源分配和调度的基本单位
     
    • 
 
  •  
    目的:识别可能存在的恶意或异常进程。通过观察进程列表,可以确定哪些进程是正常的系统进程,哪些是潜在的威胁或恶意软件。进程排查可以用于检测和响应各种安全事件,如恶意软件感染、后门程序、潜在的数据泄露等。
     
    • 

 

任务管理器       cmd > tasklist
进程和服务对应   cmd > tasklist /svc 
加载dll进程      tasklist /m
加载特定dll      tasklist /m name.dll
查看正在进行网络连接的进程cmd > netstat -ano | findstr 'ESTABLISHED'
-a 显示所有连接
-n 数字形式显示地址和端口
-o 显示进程id
​
//LISTENING:侦听状态。ESTABLISHED:建立连接。CLOSE_WAIT:对方主动关闭连接或网络异常导致连接中断。</

                

        

        

    

  


        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  lay77.
                
              
            

            

                关注
              
            

        

        

          
      

      









                



	

		

			

				
					
windows应急响应入侵排查思路

				
			

			

				

					
				

				

					10-28
					
					1771
					
				

			

		

		

			
				
0x00 前言

​ 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。

常见的应急响应事件分类:

web入侵:网页挂马、主页篡改、Webshell

系统入侵:病毒木马、勒索软件、远控后门

网络攻击:DDOS攻击、DN...

			
		

	



                

              
                



	

		

			

				
					
Windows应急响应流程与思路

				
			

			

				

					mashiro_hibiki的博客
				

				

					04-25
					
					2200
					
				

			

		

		

			
				
网络安全应急响应(Network Security Incident Response,又称CSIRT)是指团队或组织为了在网络安全事件发生时能够及时准确地做出反应和应对而建立的一套制度和流程。其目的是降低网络安全事件所造成的损失并迅速恢复受影响的系统和服务。我这里总结了一些 Window 服务器应急响应思路和方法,希望能对师傅们处理攻击事件或工作中的应急响应有所帮助。

			
		

	



                


  
              

                


	

		

			

				
					
应急响应篇:windows入侵排查

				
			

			

				

					yj520400的博客
				

				

					03-21
					
					1479
					
				

			

		

		

			
				
的存在,在入侵系统后,攻击者可以在计算机上开启专属的端口来访问被害主机或植入病毒用于挖矿等,熟悉计算机的朋友应该都知道常用的端口也就那么几个,所以通过排查可疑端口能确定主机是否存在后门、是否被植入挖矿病毒等,再根据端口的PID对可疑进程对应的程序排查,确定是否为恶意程序。webshell和病毒都是windows系统的大敌,它们可以维持攻击者的系统权限、盗窃资料、感染其他主机、加密文件等,对操作系统造成非常大的危害。而与此同时操作系统也会出现异常,包括账户、端口、进程、网络、启动、服务、任务以及文件等,

			
		

	





	

		

			

				
					
Windows应急响应笔记1

				
			

			

				

					Rick66Ashley的博客
				

				

					05-16
					
					631
					
				

			

		

		

			
				
A输入用户密码,域控就生成凭证TGT(被秘密密钥加密,该密钥由tgt和tgs共用)以及会话密钥(只是用来验证通信双方,相当于战争时同一部队的口令),A收到TGT和会话密钥后,就可以向TGS请求服务票据,而服务票据也是加密的,由B的密钥加密,也就是说,必须由B计算机才能解密服务票据,解密完成后A和B就可以通信了。第三看看ssp注入,ssp(安全支持提供者),是dll文件,在登陆时启动lsass进程会调用到,但是lsass进程还可以调用其他自定义的dll,此时可以利用自定义dll获取lsass的明文密码。

			
		

	



		

			
		



	

		

			

				
					
windows 应急流程及实战演练

				
			

			

				

					3569
				

				

					10-11
					
					1472
					
				

			

		

		

			
				
对于windows方面的,目前我涉及的比较少,近期打算主攻代码审计吧。

php、java的框架各种的提上日程,感觉初步可以了之后再转 windows 注册表 日志 ps 等 逐步了解 域渗透。

微信 竟然不允许 图片引用,原链接在此,方便日后查看 ~

 

原 URL https://mp.weixin.qq.com/s/odo2Fjtklj-ibStAsyUjHw

当企业发生黑客入侵、系...

			
		

	





	

		

			

				
					
Windows应急响应

				
			

			

				

					m0_67401055的博客
				

				

					05-15
					
					3069
					
				

			

		

		

			
				
转载至奇安信攻防社区-Windows应急响应Windows应急响应篇
本篇主要以windows应急响应的基础技术手段进行介绍。
一、概述:
近年来,随着互联网的发展网络安全攻击事件也是大幅度增多,如何在第一时间发现攻击事件,并实施应急处置,能够有效的将损失降到最低。在实施应急响应的过程中,需要从多方面进行联动工作,具体的流程和依据可以参考《GB∕T 38645-2020 信息安全技术 网络安全事件应急演练指南》,本篇主要以windows应急响应的基础技术手段进行介绍。
二、技术分析
1、准备工作
在

			
		

	





	

		

			

				
					
应急响应—常见应急响应处置思路

				
			

			

				

					浅浅的博客
				

				

					12-03
					
					6971
					
				

			

		

		

			
				
下图是常见应急响应处置思路的思维导图



下面将对 "常见应急响应处置思路" 进行详细的讲解

一、操作系统后门排查

排查目标:找出后门程序在哪里,找到后门是怎么启动的,尽可能发现后门修改了系统的那些地方。

Windows常见系统后门排查

1、工具列表

Pchunter 恶意代码检测工具
	Process Explorer 恶意代码检测工具
	Autorun...

			
		

	





	

		

			

				
					
安全服务】应急响应1:流程、排查与分析

					
热门推荐

				
			

			

				

					kkza的博客
				

				

					09-08
					
					1万+
					
				

			

		

		

			
				
一、应急响应流程

应急响应分为六个阶段,分别是

准备 —— 检测 —— 抑制 —— 根除 —— 恢复 —— 总结

这种划分方法也称PDCERF方法

实际上,应急响应并不是严格遵从这个方法的,大多数情况都要具体问题具体分析

1 准备阶段

以预防为主,主要是要进行风险评估等工作,包括建立信息安全管理体系、部署安全设备和安装防护软件、建立应急响应和演练制度等等。

2 检测阶段

这个阶段是在安全事件发生后的,主要是判断安全事件是否还在发生,安全事件产生的原因,对业务的危害程度以及预计如何处理。
..

			
		

	





	

		

			

				
					
Windows安全响应处理流程

				
			

			

				

					11-22
				

			

		

		

			
				
本文档将详细阐述Windows安全响应处理流程,主要包括应急响应的基本步骤和技术手段。通过这些方法,能够帮助企业尽快恢复系统的正常运行,减少损失。  #### 二、应急响应事件分类  1. **Web入侵**:包括网页挂马、...

			
		

	





	

		

			

				
					
Windows应急响应简述

				
			

			

				

					一个普普通通的博客
				

				

					04-18
					
					3719
					
				

			

		

		

			
				
windows应急响应简述

			
		

	





	

		

			

				
					
windows应急响应(一)

				
			

			

				

					Websec
				

				

					09-10
					
					1875
					
				

			

		

		

			
				
常见的入侵时间的排查思路如下:

攻击类型定位-&gt;时间范围-&gt;文件分析-&gt;进程分析-&gt;系统分析-&gt;日志分析-&gt;关联分析-&gt;逻辑推理-&gt;事件总结

参考文章:http://www.freebuf.com/column/178677.html

https://www.cnblogs.com/shellr00t/p/6943796.html?utm_so...

			
		

	





	

		

			

				
					
应急响应--windows主机入侵排查思路

				
			

			

				

					weixin_55821558的博客
				

				

					06-14
					
					2419
					
				

			

		

		

			
				
在之前的工作和护网期间,工程师们在实施主机入侵入侵排查工作的时候,常常会面临时间紧、任务急,需要排查的主机数量众多的情况,为了确保实施人员在有限的时间范围内,可以高效且保证质量的前提下完成主机入侵排查工作。结合大佬们的叙述和自己的体会作如下总结,仅供参考。1.初步筛选排查资产一般情况下,客户资料都比较多,想要对所有的资产主机进行入侵痕迹排查基本不太现实,等我们全部都排查完了,攻击者该做的事早就做完了,想要的目的也早就达到了,所以我简单说一下我的思路:首先,在排查前,作为项目经理,应该和客户沟通好,取得授权,

			
		

	





	

		

			

				
					
Windows主机应急响应操作步骤文档

				
			

			

				

					si1ence的博客
				

				

					03-09
					
					2914
					
				

			

		

		

			
				
Windows主机应急响应操作步骤文档

0x0 背景



随着主机安全的问题日渐突显,挖矿勒索后门等病毒隐蔽手法越来越多种多样仅仅依靠传统的安全工具不能完全查杀出相关恶意程序。安全事件具有突发性、复杂性与专业性,基于windows系统的一些运行机制人工排查安全事件需要从多个方面去检查与清除,抛砖引玉提出以下思路供参考。



0x1 检查思路



恶意程序本身有网络行为,内存必然有其二...

			
		

	





	

		

			

				
					
windows入侵排查思路

				
			

			

				

					weixin_30787531的博客
				

				

					08-01
					
					699
					
				

			

		

		

			
				
0x00 前言
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。
常见的应急响应事件分类:
web入侵:网页挂马、主页篡改、Webshell
系统入侵:病毒木马、勒索软件、远控后门
网络...

			
		

	





	

		

			

				
					
【刷题】数据结构——Java常见数据结构

					
最新发布

				
			

			

				

					qq_42581685的博客
				

				

					09-16
					
					187
					
				

			

		

		

			
				
【代码】【刷题】数据结构——Java常见数据结构。

			
		

	





	

		

			

				
					
Java对象列表属性映射工具类

				
			

			

				

					NoviceZ的博客
				

				

					09-13
					
					267
					
				

			

		

		

			
				
经常有这种情况,就是获取到一个对象列表之后,需要根据对象里某个字段的值去获取另一个字段的值。如下所示,有个Item对象列表,Item对象里有个id字段和Value字段,现需要根据id的值去查询value的值。

			
		

	





	

		

			

				
					
【无标题】

				
			

			

				

					You辉编程的博客
				

				

					09-13
					
					311
					
				

			

		

		

			
				
【代码】【无标题】

			
		

	





	

		

			

				
					
Windows应急响应手册:深入攻防策略解析

				
			

			

				

					
				

			

		

		

			
				
Windows应急响应手册》是一本专注于Windows操作系统的网络安全应急响应指南,特别关注于这个广泛使用的操作系统所面临的挑战。由于Windows作为闭源系统,其内部工作原理对研究人员而言较为复杂,特别是对于攻击者...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		
评论 1

	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值