windows应急响应

最新推荐文章于 2024-03-26 14:40:13 发布
最新推荐文章于 2024-03-26 14:40:13 发布
阅读量3.1k 收藏 4
点赞数
分类专栏: 网络安全CTF比赛 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_58199719/article/details/123775998
版权

一、工具扫描

使用木马查杀工具 对web后门 进行查找

如d盾、、、

二、日志分析、端口、进程、开机、注册表

1、网站通常是看中间件日志,通常目录是在中间件的logs目录下的acces.log文件。

2、端口

netstat -ano

参数说明:
-a 显示所有网络连接、路由表和网络接口信息
-n 以数字形式显示地址和端口号
-o 显示与每个连接相关的所属进程 ID
-r 显示路由表
-s 显示按协议统计信息、默认地、显示 IP
常见的状态说明:
LISTENING 侦听状态
ESTABLISHED 建立连接
CLOSE_WAIT 对方主动关闭连接或网络异常导致连接中断

 3、进程查看tasklist  启动项查看

 

 二、用户

1、net user 看用户

2、看隐藏用户 

 三、系统排查

 四、使用工具排查

小晨_WEB
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
应急响应技能
Scorpio_m7
06-02 1870
文章目录01-应急响应基础技能及常见工具使用01-应急响应概述01-应急类型02-应急方法论03-应急响应阶段04-应急排查点/应对方案02-windows应急响应01-系统信息-基本信息02-系统信息-用户信息03-系统信息-启动项04-计划任务05-文件痕迹排查06-进程排查07-日志分析03- Linux应急响应04- 常用工具05-总结 01-应急响应基础技能及常见工具使用 01-应急响应概述 01-应急类型 勒索 挖矿 网站被黑 APT攻击 非法劫持 数据泄露 钓鱼邮件 02-应急方法论 [外
网安学习-应急响应3
weixin_44770698的博客
08-08 1557
网安学习-应急响应3
【实战】服务隐藏与排查 | Windows 应急响应
最新发布
jijisaq的博客
03-26 1291
攻击者通过创建服务进行权限维持过程中,常常会通过一些手段隐藏服务,本文主要演示通过配置访问控制策略来实现隐藏的方式以及排查方法的探索不包含通过修改内存中链表进行隐藏的方式。
应急响应-CTF-BUUCTF-webshell后门 1
theenderofroot的博客
04-12 806
试一下base64解码出的字符串:flag{fg6sbehpra4co_tnd},可惜是错的,再去找。4、如果想摸个鱼可以直接全局搜索$pass,直接出答案,或者直接用杀毒软件、D盾也行。大概扫了一眼子目录发现upgrade文件夹比较可疑,打开其admin.php。对其中一些部分进行base64解码,没有发现可疑内容,云沙箱也没有报毒。3、最后只能慢慢找了,在member目录下找到一个多功能大马。那还按那道题的思路走,下载、解压、放入PhpStorm。2、先看这个hack文件夹,简直明目张胆啊。
CTF第二阶段赛后总结】
cmy5201314cg的博客
04-19 1354
在参加CTF第二阶段的比赛中,团队成员需要特别注意难点和送分点,充分了解等赛制和题目要求,提高对漏洞的感知能力和应用安全的相关技能,对比赛中潜在的风险和安全隐患进行预测和处理,并尽快采取改进和解决方案,以达到更高的安全防护效果。同时,比赛还需在时间管理和团队外部因素等多方面进行规划和适应,积极应对各种安全挑战和实践难点,全力以赴为团队争得优异的成绩!
应急响应-CTF-BUUCTF-后门查杀 1
theenderofroot的博客
04-12 1204
明显的一个文件包含漏洞代码,可以GET传参自定义文件名并且自动拼接php后缀,但是没有flag。2、下载下来是一个网站源码,看来是一道代码审计题,直接把文件夹放入PhpStorm中。5、那么就只能先看include文件夹了,里面还有个include.php,重点审查。4、 uploud文件夹里有个压缩包,打开看发现是一个很正常的word文档。发现$pass变量,内容好像是MD5加密字符串,包上flag试一试。3、先看web.php,这个文件的名字有点可疑。1、快速过一下题目,下载压缩包。
Linux &Windows应急响应手册.pdf
12-08
Linux &Windows应急响应手册.pdf
Windows应急响应手册
02-21
windows 是一个闭源的操作系统,粗俗一点说就是一个大黑盒子,这给想要研究 windows安全的攻击与防守研究员都带来了麻烦,然而在攻击与防御对抗中,攻击者往往因为利益和兴趣驱使,通过进程追踪、逆向分析等方式率先...
Windows应急响应手册v1.0
02-04
几百页应急响应内容知识点,场景都包含
windows应急响应命令
07-16
windows应急响应命令
windows应急响应工具 v1.0免费版
11-09
windows应急响应工具是一款系统辅助软件,拥有系统扫描、系统修复、系统防护、系统辅助、系统信息、检查更新等功能! 功能介绍 系统辅助 系统防护 系统扫描 功能如图所示:由于服
一次真实的应急响应案例(Windows2008)—暴力破解、留隐藏账户与shift粘贴键后门、植入WK程序-应急响应靶场
04-06
一次真实的应急响应案例(Windows2008)—暴力破解、留隐藏账户、shift粘贴键后门、植入wakuang程序——对应的应急响应靶场,应急响应教程参考链接:...
Windows应急响应排查基础.zip
02-11
Windows应急响应排查基础 简单的应急这足够解决 包含如下工具 windows日志分析工具 包含如下文档 Windows 日志记录配置.docx [应急响应] windows,入侵排查思路.docx Windows日志登录类型.docx windows应急响应...
HW防守_Windows应急响应基础1
08-03
1、 检查系统账号安全 2、查看服务器是否存在可疑账号、新增账号 3、查看服务器是否存在隐藏账号、克隆账号 4、结合日志,查看管理员登录时间、用户名是否存在异常
windows+linux下的应急响应
06-11
本节课程详细介绍了针对windows和linux两种操作系统在被攻击的情况下怎么溯源,怎么找到攻击的黑客,并从攻击留下的痕迹来发现自身服务器、web的漏洞,并从中修复自身漏洞。
网络安全】网络入侵检测——应急响应
Spontaneous_0的博客
10-11 518
当IDS或IPS检测到一个威胁时,我们需要进行应急响应来处理这个威胁。:首先,我们需要确认这个威胁。这可能需要查看IDS或IPS的日志,或者其他的证据,例如系统日志,网络流量,或者应用日志。:然后,我们需要评估这个威胁的影响。这可能需要查看被攻击的系统或应用的状态,或者其他的信息,例如攻击者的信息,攻击的方式,或者攻击的目标。:最后,我们需要响应这个威胁。这可能是通过阻止攻击流量,修复受影响的系统或应用,或者更新IDS或IPS的规则来完成的。:查看IDS的日志,确认这个攻击。
Web应急响应0基础讲解国赛信安管理与评估二阶段
Geek极安云科-致力于网络安全事业
10-22 1846
针对信安评估这个赛项来讲,应急响应部分基本上都是基于Win/Linux的,包括但不限于各类服务 中间件 操作系统等,一般来讲,遇到的比较多的还是Web的日志比较多,很多省赛以及22 23国赛都是Web的日志赛题还是老几样,无非就是:提交攻击者的IP地址,者首次攻击成功的时间,操作系统版本,后门路径,可以进程等,那么大致方向确定了,其实也可以进行练习了。常见的三种备赛练习方式:1.自己/他人打自己靶机溯源:常见的攻击手法进行攻击后看靶机的日志等进行溯源。
2023年网络安全比赛--网络安全应急响应中职组(超详细)
Aluxian_的博客
01-14 6509
6.找出黑客植入系统中的挖矿病毒,将矿池的钱包地址作为Flag值(提交格式为:0xa1d1fadd4fa30987b7fe4f8721b022f4b4ffc9f8)提交。3.找出黑客在admin用户家目录中添加的ssh后门,将后门的写入时间作为Flag值(提交的时间格式为:2022-01-12 08:08:18)2.找出系统中被植入的后门用户删除掉,并将后门用户的账号作为Flag值提交(多个用户名之间以英文逗号分割,如:admin,root);

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小晨_WEB

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值