一次简单的windows可疑进程排查

最新推荐文章于 2024-08-07 11:30:18 发布
最新推荐文章于 2024-08-07 11:30:18 发布
阅读量3.5k 收藏 1
点赞数 2
分类专栏: 运维安全 文章标签: 木马查杀 运维安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29647709/article/details/81480410
版权

0X00查看已经建立的进程

netstat -ano | find “ESTABLISHED”

这里写图片描述

0X01查看已经建立的进程

tasklist|findstr “2228”回车,查看是哪个进程或者程序占用了2228端口,或者是我们打开任务管理器,切换到进程选项卡,在PID一列查看2228对应的进程是谁,结果是:YoudaoMote.exe
这里写图片描述
结束该进程:在任务管理器中选中该进程点击”结束进程“按钮,或者是在cmd的命令窗口中输入:taskkill /f /t /im Tencentdl.exe

当然不正常的进程,应该在任务管理器,右键,打开其进程所在位置,查看并删除。

tdcoming
关注
专栏目录
可疑进程的手动杀除
05-24
可疑进程木马)的手动杀除方法合集
可疑进程描述与解密
伴老
11-22 2625
进程文件: Svchost.exeSvchost.exe文件存在于“%system root%/system32”(例如C:/Windows/system32)目录下,它是Windows NT核心的重要进程Windows 9X没有该进程),专门为系统启动各种服务的。例如Svchost.exe调用rpcss.dll文件,就会启动rpcss服务(remote procedure call)。   S
应急响应-主机安全之系统及进程排查相关命令(Linux操作系统-初级篇)
最新发布
关注网络安全、云原生安全
08-07 1342
本文介绍下在应急响应过程中,linux系统下排查系统、进程、服务可能用到的命令,有些命令选项很多,读者可以仅看常用选项。不涉及内存、进程注入、rootkit等高级攻击的排查。常用-n参数,n为展示的数量systemctl命令 是系统服务管理器指令,它实际上将 service 和 chkconfig 这两个命令组合到一起。任务旧指令新指令使某服务自动启动使某服务不自动启动检查服务状态systemctl status httpd.service (服务详细信息)
应急响应篇-Windows 进程排查及服务排查
cavathon的博客
03-17 1076
DLL(动态链接库)是Windows系统中的一种共享库,与代码概念中的类有一定思维上的重合,大致用于代码重用,模块化设计,更新维护等功能。打开任务管理器,添加命令行和路径名称等进程页列,获得更多进程相关信息。可通过关注进程的路径名称和命令行是否可以判断。挖矿病毒允许时页伴随着CPU占用飙升的情况。来查找PID为900的进程及其对应的服务。tasklist还有过滤器的功能、使用。可以显示进程与服务的对应情况。可以查询调用指定DLL的进程。可显示进程与其加载的DLL。命令可查看所有进程信息。
应急响应-进程排查
懂进攻知防守
11-20 1511
进程是计算机中的程序关于某数据集合上的一次运行活动,是系统进行资源分配和调度的基本单位,是操作系统结构的基础。无论在Windows还是Linux中,主机在感染恶意程序后,恶意程序都会启动相应进程来完成恶意操作。
应急响应之windows进程排查
内心不种满鲜花就会长满杂草
07-05 7139
#查看已建立的连接 netstat -ano | findstr "ES" 或 netstat -b #根据pid定位程序 tasklist | findstr PID号 #获取程序路径 wmic process | findstr 程序名 #终止进程 taskkill /f /pid pid号 1. 查看网络连接 netstat命令的功能是显示网络连接、路由表和网络接口信息,可以让用户得知目前都有哪些网络连接正在运作。 netstat [选项] 命令中各选项的含义如下: -a ..
发现并更改可疑进程
weixin_33797791的博客
06-06 574
ntsd –c q –pn ssyy.exe (SSYY这里的ssyy.exe我们假如它是可疑进程。将文件保存为ko.bat,然后双击运行ko.bat就可以同时结束这个可疑进程了。) 一、用强大的ntsd命令,ntsd命令可用来结束一些常规情况下结束不了的进程。 首先要查看可疑进程pid值,这个可以在windows任务管理器中查看到,也可以使...
windows日志分析#linux日志分析#web日志分析#windows入侵排查#linux入侵排查
09-01
本篇文章将深入探讨Windows、Linux以及Web日志分析和相关入侵排查的知识点。 首先,我们来看Windows日志分析。Windows操作系统提供了事件查看器(Event Viewer)工具,它收集并记录了系统、应用程序、安全、设置和...
windows下常用排查命令-2021_2_241
08-08
Windows操作系统中,进行系统排查和故障诊断是IT运维中的常见任务。以下是一些常用的命令和工具,它们可以帮助我们检查账号安全、网络连接、启动项、系统服务以及文件活动。 一、账号安全 1. `query user`: 用于...
windows应急排查(学习笔记)
weixin_52766206的博客
08-01 395
windows应急排查思路
渗透测试基础- - -windows入侵排查
weixin_67503304的博客
10-28 2182
本文主要讲述了在我们日常生活中遇到windows被入侵后的排查步骤,以便更好的溯源。
进程查杀,防止可疑进程
05-27
一款辅助查杀工具,如果发现可以进程可以结束它!
ProcessHacker进程处理工具
10-25
ProcessHacker,可以查看、分析当前系统上运行的进程。查看其加载的Dll。
win7自动优化批处理工具
03-16
自动批处理优化系统进程服务,很好用,小白必备!!!
《网络安全自学教程》- Windows应急响应排查思路
热门推荐
wangyuxiang946的博客
04-17 1万+
结合实战案例逐步讲解Windows应急响应排查思路及具体操作步骤
查找可疑系统进程的方式(例如multidropper)
有技术的机械师
12-30 1019
首先  使用nmap工具   查看可疑开发端口和服务名称 nmap -sS  x.x.x.x(IP地址) 然后去对应主机内去查。 目前可知开放端口为  1035 在主机cmd内  使用命令:netstat    -ano 可以查看到  对应端口的进程PID 然后在资源管理器内 查看  PID对应的线程是什么。
linux取证之可疑程序分析
NFMSR的博客
07-27 1505
linux平台下可疑程序分析 对可疑恶意代码的取证需要在安全和可靠的环境中进行,应将可疑文件放置在隔离环境或者沙箱系统网络中。 检查恶意程序的准则: 建立环境基准 VMware建立模拟环境 分析之前,首先保留受害系统在可疑代码运行前的快照 同时也需要运行一个可对初始化时的系统状态和代码执行后的系统状态进行比较的工具。 Open Source Tripwire工具:用于监控数据完整性以及在...
端口排查方法
weixin_45447619的博客
08-05 817
例;IP:122.10.10.10的80端口不通 1.服务是否启动(iis.apche,nginx) 2.80端口不通 Linux上查看端口监听的命令: netstat -lntup |grep 80 windows上查看端口监听的命令: netstat -ano |findstr ":80“ 3、查看端口链接数 linux上查看端口链接数的命令: ss -anupt | grep 80 ss -...
Schtasks.exe计划任务的几个实例小结
weixin_34318326的博客
11-19 412
Schtasks.exe计划任务的几个实例小结 前段时间负责编写荣新v4版本Windows Server 2008 R2升级课程的PPT,计划任务管理时提到了Schtasks,这里总结几个应用,方便大家查询: 作为服务器的系统管理员可以使用"Schtasks.exe"命令行工具,这种执行方式与使用图形化界面相同的操作,SchTasks.exe 取代了包含在 Windows 早期版本中的工具 A...
系统进程中的风险进程排查与管理
以下是一些常见的可疑进程及其功能和用途: 1. **systemIdleProcess**: 这是Windows操作系统中的一个后台进程,负责在系统空闲时保持CPU运行以维持系统稳定性,即使没有实际工作负载,也会占用极低的CPU资源。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值