应急响应-Windows-服务排查

最新推荐文章于 2024-05-21 20:32:35 发布
最新推荐文章于 2024-05-21 20:32:35 发布
阅读量326 收藏 8
点赞数 5
分类专栏: 应急响应 文章标签: 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50765147/article/details/135820178
版权

服务可以理解为运行在后台的进程。这些服务可以在计算机启动时自动启动,也可以暂停和重新启动,而且不显示任何用户界面。服务非常适合在服务器上使用,通常在为了不影响在同一台计算机上工作的其他用户,且需要长时间运行功能时使用。在应急响应排查过程中,服务作为一种运行在后台的进程,是恶意软件常用的驻留方法。

查看系统运行服务
  • 打开【运行】对话框,输入【services.msc】命令,可打开【服务】窗口,查看所有的服务项,包括服务的名称、描述、状态等,如图所示

岁月冲淡々
关注
  • 5
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络安全保障方案(2).doc
06-09
网络安全保障方案 一、网络安全自查 (一) 身份鉴别 1) 针对网络设备、操作系统、数据库及应用系统,排查管理账户口令复杂度就是否不 低于 8 位且至少包含大小写字母、数字及特殊字符中的 3 类(须重点关注就是否存在弱口令或默认口令),口令应定期(如每季度)或不定期 (如重大节日前)更换; 2) 针对网络设备、操作系统、数据库及应用系统,排查登录失败处理功能就是否有效 ,可采取结束会话、限制非法登录次数与自动退出等措施; (二) 访问控制 3) 针对网络设备、操作系统、数据库及应用系统,排查就是否根据管理用户的角色分 配权限,应实现管理用户的权限分离,仅授予管理用户所需的最小权限; (三) 安全审计 4) 针对网络设备、操作系统、数据库及应用系统,排查审计功能就是否生效,安全审计 应覆盖到每个网络设备用户、操作系统用户、数据库用户及应用系统用户,审计 记录应包含时间、主客体、操作记录等信息; (四) 入侵防范 5) 排查网络边界处及服务器就是否具备监视木马攻击、拒绝服务攻击、缓冲区溢出攻 击、IP 碎片攻击与网络蠕虫攻击等的能力,在发生严重入侵事件时应提供报警,且能够记 录入侵的源 IP、攻击时间及攻击类型等信息; 6) 排查操作系统、数据库、中间件及其她第三方软件就是否更新最新补丁; (五) 恶意代码防范 7) 排查网络层面及主机层面的恶意代码防范软件就是否有效,恶意代码库就是 否升级到最新版本; (六) 设备防护 8) 排查就是否对网络设备、服务器的管理员访问地址及相应端口进行限制; (七) 数据备份及恢复 9) 排查本地数据备份与恢复功能就是否有效,完全数据备份至少每天一次; (八) 软件容错 10) 排查通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求; 11) 排查就是否对用户输入的数据进行过滤或转义、就是否在服务器端对上传的文件进 行格式限制。 二、应急响应流程 1) 网站发生异常事件时(如出现非法言论、页面被黑客攻击篡改等),应急处置技术人 员应立即向部门与网站领导汇报,确认就是否通过拔掉网线或逻辑隔离的措施及 时断开系统服务,同时保存异常的网页与对应时间段的日志(涉及安全设备、网络 设备、操作系统、数据库及中间件等),删除或发布正确内容覆盖的方式,恢复页 面正常; 2) 应急处置人员详细登记网页异常时间、异常情况、处置方式及结果等并保存相关日 志或审计记录,并将以上情况报网站责任人; 3) 由网站责任人牵头组织网站技术人员与安全合作伙伴成立事件调查小组共同追查非 法信息来源,调查结果分别报分管领导; 4) 若事件影响或危害重大,网站责任人同意并经分管领导批准后,可向公安部门报警。 2017 年 9 月 28 日 ----------------------- 网络安全保障方案(2)全文共2页,当前为第1页。 网络安全保障方案(2)全文共2页,当前为第2页。
网络安全-应急响应之入侵排查篇及相关工具
GitHub质检员
11-22 441
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。常见的应急响应事件分类:Web 入侵:网页挂马、主页篡改、Webshell系统入侵:病毒木马、勒索软件、远控后门网络攻击:DDOS 攻击、DNS 劫持、ARP 欺骗针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 Windows 服务器入侵排查的思路。
应急响应总体流程
m0_67284865的博客
05-18 1069
​ 主要任务是回顾并整合应急响应过程的相关信息,进行事后分析总结和修订安全计划、政策、程序,并进行训练,以防止入侵的再次发生。基于入侵的严重性和影响,确定是否进行新的风险分析,给系统和网络资产制作一个新的目录清单。这一阶段的工作对于准备阶段工作的开展起到重要的支持作用。​ 总结阶段的工作主要包括以下3方面的内容:(1)形成事件处理的最终报告:(2) 检查应急响应过程中存在的问题,重新评估和修改事件响应过程;(3) 评估应急响应人员相互沟通在事件处理上存在的缺陷,以促进事后进行更有针对性的培训。
网络安全——应急响应之入侵排查
W981113的博客
02-14 6995
一、windows入侵排查 1.入侵排查思路 1.1 检查系统账号安全 1.查看服务器是否有弱口令、远程管理端口是否对公网开放 (根据实际情况咨询相关服务器管理员) 2.检查服务器是否存在可疑账号、新增账号 (打开cmd窗口,输入lusrmgr.msc命令,查看是否有可疑或者新增的账号,若存在管理员Administrators群组内新增的账户,请立即禁用或者删除) 3.查看服务器注册表是否存在隐藏账号、克隆账号 (打开注册表–regedit.exe或者regedit,查看管理员对应键值) (使用D盾查杀
【安全服务应急响应1:流程、排查与分析
热门推荐
kkza的博客
09-08 1万+
一、应急响应流程 应急响应分为六个阶段,分别是 准备 —— 检测 —— 抑制 —— 根除 —— 恢复 —— 总结 这种划分方法也称PDCERF方法 实际上,应急响应并不是严格遵从这个方法的,大多数情况都要具体问题具体分析 1 准备阶段 以预防为主,主要是要进行风险评估等工作,包括建立信息安全管理体系、部署安全设备和安装防护软件、建立应急响应和演练制度等等。 2 检测阶段 这个阶段是在安全事件发生后的,主要是判断安全事件是否还在发生,安全事件产生的原因,对业务的危害程度以及预计如何处理。 ..
Windows应急响应排查基础.zip
02-11
Windows应急响应排查基础 简单的应急这足够解决 包含如下工具 windows日志分析工具 包含如下文档 Windows 日志记录配置.docx [应急响应] windows,入侵排查思路.docx Windows日志登录类型.docx windows应急响应...
Windows进程排查辅助工具
10-19
Windows进程排查辅助工具 Windows桌面查看所有进程 Procexp是一套功能齐全的进程信息管理工具,它使用图形界面显示(GUI),可以把它看做是Windows平台上taskmgr.exe任务管理器的扩展,事实上它完全足以代替taskmgr。
应急响应实战笔记.rar
02-14
应急响应实战笔记,包含入侵排查篇:Windows 入侵排查、Linux 入侵排查、常见的 Webshell 查杀工具、如何发现隐藏的 Webshell 后门、勒索病毒自救指南;日志分析篇:Windows日志分析、Linux日志分析、Web日志分析、...
应急响应实践课程(全新升级)—课程资源与下载地址.docx
04-22
应急响应实践课程(全新升级-视频教程)-课程资源与下载地址,亲测真实有效、,在知识星球中也分享了该资源,知识星球:W小哥
windows系统监视工具Procmon
10-19
应急响应排查辅助工具 Process Monitor一款系统进程监视软件,总体来说,Process Monitor相当于Filemon+Regmon,其中的Filemon专门用来监视系统中的任何文件操作过程,而Regmon用来监视注册表的读写操作过程。
应急响应-进程排查
懂进攻知防守
11-20 1298
进程是计算机中的程序关于某数据集合上的一次运行活动,是系统进行资源分配和调度的基本单位,是操作系统结构的基础。无论在Windows还是Linux中,主机在感染恶意程序后,恶意程序都会启动相应进程来完成恶意操作。
服务器安全事件应急响应排查方法
虫虫的博客
03-27 844
服务器安全事件应急响应排查方法
应急响应篇-Windows 进程排查服务排查
cavathon的博客
03-17 600
DLL(动态链接库)是Windows系统中的一种共享库,与代码概念中的类有一定思维上的重合,大致用于代码重用,模块化设计,更新维护等功能。打开任务管理器,添加命令行和路径名称等进程页列,获得更多进程相关信息。可通过关注进程的路径名称和命令行是否可以判断。挖矿病毒允许时页伴随着CPU占用飙升的情况。来查找PID为900的进程及其对应的服务。tasklist还有过滤器的功能、使用。可以显示进程与服务的对应情况。可以查询调用指定DLL的进程。可显示进程与其加载的DLL。命令可查看所有进程信息。
应急响应排查思路
xbn1873942785的博客
01-18 6034
1.应急响应概念: 通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。 应急响应基本流程: 总体来说: 表现—>收集—>攻击—>追查—>修复: 表现:(发现异常) 1. 网站部分:篡改、丢失乱码 2. 文件部分:丢失、篡改、泄露 3. 系统部分:系统卡顿、CPU爆满、服务宕机 4. 流量部分:大量数据包、陌生外部连接、网速网络卡顿 5. 第三方服务部分:服务异常、运行异常 收集:(收集信息) 1. 操作系统:linux、windows、mac 2.
使用grafana beyla作为ebpf无侵入式trace收集工具
神棍之路
05-17 865
Beyla 使用 eBPF 自动检查应用程序可执行文件和操作系统网络层,并捕获与 Web 事务相关的跟踪跨度和 Linux HTTP/S 和 gRPC 服务的 Rate Errors Duration (RED) 指标,而无需对应用程序代码或配置进行任何修改。它使用 eBPF 自动检查应用程序可执行文件和操作系统网络层,并捕获与 Web 事务相关的跟踪跨度和 Linux HTTP/S 和 gRPC 服务的 Rate Errors Duration (RED) 指标,而无需对应用程序代码或配置进行任何修改.
尝试使用官方jailhouse-images仓库运行jailhouse
ScilogyHunter的博客
05-15 1011
通过jailhouse 的官方 demo 演示仓库,可以直接编译出带有部署有jailhouse程序的Linux镜像,有多个目标平台的Linux镜像可选,也有在qemu下的镜像。参考文档:https://bbs.csdn.net/topics/615164494。
搭建自己的视频通话服务器Janus(WebRTC)
最新发布
lvronglee的专栏
05-21 362
因为默认的代码,https是会请求8089的https请求的。apt install janus的源码安装了之后,要么自己写demo,要么直接用源码里面的前端页面。注意这里的pem文件,以及代理。janus 是后端,需要nginx或者其他等提供前端页面的服务器,此外因为这里并没有正式的证书,只能用自签名的证书用于https。穿透用来着,如果是局域网部署的,没有影响,如果部署到阿里云这样的,需要这个来做NAT穿透。随便注册个名字,然后用手机打开手机网络,这里看能不能穿透,不用和测试机一样的网络环境。
配置通配符证书流程
2301_82229513的博客
05-16 324
例如,如果你拥有一个名为123456.com的域名,并且申请了一个通配符证书*.123456.com,那么这个证书不仅会保护主域名123456.com的安全连接,还会自动覆盖与之相关的所有。JoySSL通配符DV证书能够用一张证书保护主域名以及所有的下级子域名,并对该级子域名数量没有限制,且添加新的该级子域名无需重新审核和另外付费。填写好自己所需要的部署的主域名,主域名可以是一级域名也可以是二级三级域名等。该证书可以绑定无限多的域名,以一个主域名为首,则可以关联无限多的相关次级子域名,
大型制造企业IT蓝图规划及实施路线(140页PPT)
数据矿工-数据化运营博客
05-18 304
在需求分析部分,资料详细剖析了企业当前的IT状况,识别出存在的问题和挑战,为企业制定IT蓝图提供了坚实的基础。在架构设计环节,资料从企业的战略目标出发,设计了符合企业实际情况的IT架构蓝图,确保系统的稳定性和可扩展性。在系统选型方面,资料对比了市场上的主流产品和解决方案,为企业提供了科学、合理的选型建议。通过深入浅出的分析,结合丰富的案例和行业最佳实践,本PPT旨在帮助制造业企业构建高效、稳定、安全的IT基础设施,推动企业数字化转型,提升生产效率和管理水平。关注【数据化运营圈】下载更多数字化解决方案。
Windows应急响应排查
07-30
在进行Windows应急响应排查时,可以采取以下步骤: 1. 检查启动项:查看注册表中的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce键,删除异常的启动项目。同时,建议安装杀毒软件进行病毒...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值