2-Web安全——windows下应急响应(入侵排查)

1. windows分析排查

windows分析排查是对windows系统中的文件,进程,网络流量,系统信息,日志记录等进行检测,分析出windows系统中异常情况。

 

2. 开机启动项

开机启动项里的程序和文件是windows系统开机过程中启动的程序,通常攻击者入侵的时候通常会把病毒,后门程序隐藏到开机启动项里。

windows系统可以通过以下几种方式查看开机启动项:

1. 利用系统配置,win+R键输入msconfig,打开windows系统配置,单击启动选项,可查看启动项详细信息。

 

2. 利用注册表regedit:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 

3. 利用操作系统中的启动菜单:C:\Users\用户名\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup , 如果文件夹被隐藏,在文件夹选项中改为显示隐藏文件。

 

3. temp临时异常文件

temp是一个临时文件夹,位于C:\Users\用户名\AppData\Local\Temp目录下,用于存放很多临时文件,例如收藏夹,浏览网页的临时文件,编辑文件等等。如果temp文件夹下有PE文件(exe,dll,sys)或特别大的tmp文件。

 

可以在windows的运行窗口输入:%temp% ,打开temp文件夹。

 

4. 检查系统用户

在cmd窗口输入lusrmgr.msc命令检查是否有异常用户,打开注册表查看对应的管理员的值。

net user命令会列出系统的所有用户,但是有些隐藏用户一般不会显示。

 

5. 异常端口,进程

使用netstat命令检查网络是否有异常链接,tasklist命令可以检查是否有异常进程:

tasklist /svc命令是查看进程所调用的服务。

tasklist /V命令可以显示进程的详细信息。

netstat命令可以通过 -h来查看选项。tasklist /?命令可以查看帮助手册,也可以通过微软官方的Process Explorer工具进行排查。

在cmd窗口中输入msinfo32命令,在系统信息中左边菜单中可以看到很多。

 

 

在运行窗口中输入wmic,在cmd窗口中输入process可以查看每个进程程序,并且还会列出每个进程的文件路径。

 

 

6. 检查异常服务,计划任务

1. 检查主机的启动项

2. 在运行窗口输入 msconfig查看是否有异常的启动项目

3. 查看是否有异常启动的注册表:

HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

4. 检查右侧是否有启动异常的项目,如有请删除,并建议安装杀毒软件进行病毒查杀,清除残留病毒或木马。

5, 利用安全软件查看启动项、开机时间管理等

6. 组策略,运行gpedit.msc

7. 检查计划任务

8. 在cmd窗口输入at命令查看服务计划启动

 

参与评论 您还未登录,请先 登录 后发表或查看评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
©️2022 CSDN 皮肤主题:数字20 设计师:CSDN官方博客 返回首页

打赏作者

songly_

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值