一次简单的windows可疑进程排查

最新推荐文章于 2024-04-11 10:45:25 发布
最新推荐文章于 2024-04-11 10:45:25 发布
阅读量3.4k 收藏
点赞数 1
分类专栏: 运维安全 文章标签: 木马查杀 运维安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29647709/article/details/81480410
版权

0X00查看已经建立的进程

netstat -ano | find “ESTABLISHED”

这里写图片描述

0X01查看已经建立的进程

tasklist|findstr “2228”回车,查看是哪个进程或者程序占用了2228端口,或者是我们打开任务管理器,切换到进程选项卡,在PID一列查看2228对应的进程是谁,结果是:YoudaoMote.exe
这里写图片描述
结束该进程:在任务管理器中选中该进程点击”结束进程“按钮,或者是在cmd的命令窗口中输入:taskkill /f /t /im Tencentdl.exe

当然不正常的进程,应该在任务管理器,右键,打开其进程所在位置,查看并删除。

tdcoming
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
可疑进程的手动杀除
05-24
可疑进程木马)的手动杀除方法合集
可疑进程描述与解密
伴老
11-22 2602
进程文件: Svchost.exeSvchost.exe文件存在于“%system root%/system32”(例如C:/Windows/system32)目录下,它是Windows NT核心的重要进程Windows 9X没有该进程),专门为系统启动各种服务的。例如Svchost.exe调用rpcss.dll文件,就会启动rpcss服务(remote procedure call)。   S
应急响应-Windows-进程排查_c# select name from win32_process
最新发布
2401_84239901的博客
04-11 896
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
应急响应-进程排查
懂进攻知防守
11-20 1383
进程是计算机中的程序关于某数据集合上的一次运行活动,是系统进行资源分配和调度的基本单位,是操作系统结构的基础。无论在Windows还是Linux中,主机在感染恶意程序后,恶意程序都会启动相应进程来完成恶意操作。
应急响应之windows进程排查
good good study
07-05 6818
#查看已建立的连接 netstat -ano | findstr "ES" 或 netstat -b #根据pid定位程序 tasklist | findstr PID号 #获取程序路径 wmic process | findstr 程序名 #终止进程 taskkill /f /pid pid号 1. 查看网络连接 netstat命令的功能是显示网络连接、路由表和网络接口信息,可以让用户得知目前都有哪些网络连接正在运作。 netstat [选项] 命令中各选项的含义如下: -a ..
发现并更改可疑进程
weixin_33797791的博客
06-06 556
ntsd –c q –pn ssyy.exe (SSYY这里的ssyy.exe我们假如它是可疑进程。将文件保存为ko.bat,然后双击运行ko.bat就可以同时结束这个可疑进程了。) 一、用强大的ntsd命令,ntsd命令可用来结束一些常规情况下结束不了的进程。 首先要查看可疑进程pid值,这个可以在windows任务管理器中查看到,也可以使...
查找可疑系统进程的方式(例如multidropper)
有技术的机械师
12-30 992
首先  使用nmap工具   查看可疑开发端口和服务名称 nmap -sS  x.x.x.x(IP地址) 然后去对应主机内去查。 目前可知开放端口为  1035 在主机cmd内  使用命令:netstat    -ano 可以查看到  对应端口的进程PID 然后在资源管理器内 查看  PID对应的线程是什么。
windows进程线程信息查询
03-31
1. **进程**:进程是程序的一次执行实例,是资源分配的基本单位,拥有独立的内存空间。每个进程都有自己的地址空间,包括代码区、数据区、堆栈区等。 2. **线程**:线程是执行的最小单位,是CPU调度的基本单位,一...
windows下常用排查命令-2021_2_241
08-08
Windows操作系统中,进行系统排查和故障诊断是IT运维中的常见任务。以下是一些常用的命令和工具,它们可以帮助我们检查账号安全、网络连接、启动项、系统服务以及文件活动。 一、账号安全 1. `query user`: 用于...
最全的Windows 系统进程列表
11-24
2. 阻止恶意进程:通过安全软件监控和阻止可疑进程,防止病毒或恶意软件活动。 3. 优化启动项:通过“系统配置”工具(msconfig.exe)或任务管理器的“启动”标签页,可以管理开机自启动的程序,减少启动时间。 五...
windows日志分析#linux日志分析#web日志分析#windows入侵排查#linux入侵排查
09-01
本篇文章将深入探讨Windows、Linux以及Web日志分析和相关入侵排查的知识点。 首先,我们来看Windows日志分析。Windows操作系统提供了事件查看器(Event Viewer)工具,它收集并记录了系统、应用程序、安全、设置和...
进程查杀,防止可疑进程
05-27
一款辅助查杀工具,如果发现可以进程可以结束它!
ProcessHacker进程处理工具
10-25
ProcessHacker,可以查看、分析当前系统上运行的进程。查看其加载的Dll。
win7自动优化批处理工具
03-16
自动批处理优化系统进程服务,很好用,小白必备!!!
详细讲解了揪出可疑进程(2)
06-12
本文将详细解析如何识别和处理这些可能存在问题的进程,特别是针对"揪出可疑进程(2)"这一主题。 首先,我们要了解一些基本的系统进程。这些进程Windows操作系统的核心组成部分,对系统的正常运行至关重要: 1. ...
linux取证之可疑程序分析
NFMSR的博客
07-27 1469
linux平台下可疑程序分析 对可疑恶意代码的取证需要在安全和可靠的环境中进行,应将可疑文件放置在隔离环境或者沙箱系统网络中。 检查恶意程序的准则: 建立环境基准 VMware建立模拟环境 分析之前,首先保留受害系统在可疑代码运行前的快照 同时也需要运行一个可对初始化时的系统状态和代码执行后的系统状态进行比较的工具。 Open Source Tripwire工具:用于监控数据完整性以及在...
windows应急排查(学习笔记)
weixin_52766206的博客
08-01 375
windows应急排查思路
端口排查方法
weixin_45447619的博客
08-05 797
例;IP:122.10.10.10的80端口不通 1.服务是否启动(iis.apche,nginx) 2.80端口不通 Linux上查看端口监听的命令: netstat -lntup |grep 80 windows上查看端口监听的命令: netstat -ano |findstr ":80“ 3、查看端口链接数 linux上查看端口链接数的命令: ss -anupt | grep 80 ss -...
Schtasks.exe计划任务的几个实例小结
weixin_34318326的博客
11-19 403
Schtasks.exe计划任务的几个实例小结 前段时间负责编写荣新v4版本Windows Server 2008 R2升级课程的PPT,计划任务管理时提到了Schtasks,这里总结几个应用,方便大家查询: 作为服务器的系统管理员可以使用"Schtasks.exe"命令行工具,这种执行方式与使用图形化界面相同的操作,SchTasks.exe 取代了包含在 Windows 早期版本中的工具 A...
Windows应急响应排查
07-30
在进行Windows应急响应排查时,可以采取以下步骤: 1. 检查启动项:查看注册表中的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce键,删除异常的启动项目。同时,建议安装杀毒软件进行病毒查杀,清除残留病毒或木马。还可以使用安全软件查看启动项和管理开机时间。 2. 检查计划任务:在任务计划中查看计划任务属性,可以发现木马文件的路径。同时,通过运行`cmd`命令,输入`at`命令,检查计算机与网络上的其他计算机之间的会话或计划任务,确认是否为正常连接。 3. 检查服务自启动:通过运行`services.msc`命令,查看服务状态和启动类型,检查是否有异常服务。 4. 检查系统相关信息:通过运行`systeminfo`命令,查看系统版本以及补丁信息。此外,还可以查找可疑目录和文件,特别是在用户目录下查看是否有新建用户目录。 5. 检查注册表中的开机启动位置:包括HKLM\Software\Microsoft\Windows\CurrentVersion\Runonce、HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run、HKLM\Software\Microsoft\Windows\CurrentVersion\Run、HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run、HKCU\Software\Microsoft\Windows\CurrentVersion\Run、HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce、(ProfilePath)\Start Menu\Programs\Startup、任务管理器的启动选项卡、运行`msconfig`查看启动选项卡,以及运行`gpedit.msc`在本地组策略编辑器中查看开机运行脚本。 以上是进行Windows应急响应排查时的一些常用步骤和方法。根据具体情况,还可以结合其他工具和技术进行更深入的排查。[1][2][3]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值