应急响应-进程排查

已于 2022-11-20 17:12:11 修改
阅读量1.4k 收藏 6
点赞数 1
分类专栏: 应急响应 文章标签: 应急响应 Windows应急响应 Linux应急响应 网络安全
于 2022-11-20 17:12:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61503377/article/details/127940281
版权

进程排查

进程是计算机中的程序关于某数据集合上的一次运行活动,是系统进行资源分配和调度的基本单位,是操作系统结构的基础。无论在Windows还是Linux中,主机在感染恶意程序后,恶意程序都会启动相应进程来完成恶意操作。

Windows进程排查

对于Windows系统中的进程排查,主要是找到恶意进程的PID、程序路径,有时还需要找到PPID(PID的父进程)及程序加载的DLL。对于进程的查看,一般有如下几种方式:

  1. 通过【任务管理器】查看可疑进程。
    在打开【任务管理器】窗口后,点击【查看】>>【选择列】添加【命令行】和【映射路径名称】等进程页列,以方便获取更多进程信息。
    在这里插入图片描述

  2. 使用【tasklist】命令进行排查,显示运行在计算机的所有进程,可看到映像名称、PID、会话名等信息。
    在这里插入图片描述

【tasklist】添加特定参数,还可以查看每个进程提供的服务。
如:添加svc参数,可以显示每个进程和服务对应的情况;
在这里插入图片描述

添加m参数,查询进程加载的恶意程序,
在这里插入图片描述
如果想要查询特定DLL的调用情况,可以使用【tasklist/m DLL名称】
在这里插入图片描述

  1. 使用【netstat】命令进行排查;
    在命令行中输入【netstat】,可以显示网络连接的信息,包括活动的TCP连接、路由器和网络接口信息。
-a 显示所有连接和侦听端口
-b 显示在创建每个连接或侦听端口时涉及的可执行程序
-n 以数字形式显示地址和端口号
-o 显示拥有的与每个连接关联的进程ID
-p 显示proto指定的协议的连接

在这里插入图片描述

常见的网络状态说明:

LISTENING:侦听状态
ESTABLISHED:建立连接
CLOSE_WAIT:对方主动关闭连接或网络异常导致连接中断

在排查过程中,一般会使用【netstat -ano | findstr “ESTABLISHED”】命令查看目前的网络连接,定位可疑的ESTABLEISHED。
在这里插入图片描述

  1. 使用【wmic】命令进行查询;
    (1) 在命令行使用【wmic process】命令,可以对进程情况进行查询。
    如果感觉很乱的话,可以使用【wmic process > c:/1.txt】输出到文本进行查看。
    在这里插入图片描述
    (2)【wmic process get ExecutablePath, processid/format: csv】命令表示以csv格式来显示进程路径、进程ID。
    在这里插入图片描述

(3)【wmic process get name, ExecutablePath, processid, parentprocessid/format: csv|findstr/| “appdata”】命令表示以csv格式来显示进程的名称、进程路径、进程ID、父进程ID信息。
在这里插入图片描述

(4)【wmic process where processid=380 get parentprocessid】命令表示以PID的值作为条件来获取其父进程的PID情况;
在这里插入图片描述

(5)【wmic process where processid=4 get commandline】命令表示以PID的值作为条件来获取命令行;
在这里插入图片描述

  1. 【wmic process where name=“bind_4556.exe” call terminate】命令是指删除“bind_4556.exe”恶意程序的进程。
    运行一个名为bind_4556.exe的恶意木马;
    在这里插入图片描述
    删除“bind_4556.exe”恶意程序的进程。
wmic process where name="bind_4556.exe" call terminate

在这里插入图片描述
再次查看;
在这里插入图片描述

  1. 【wmic process where processid=[PID] delete】命令是指删除PID为某值的进程。
    再次打开木马;PID为2004;
    在这里插入图片描述
    删除PID为2004的恶意进程。
wmic process where processid=2004 delete

在这里插入图片描述

Linux进程排查

Linux系统的进程排查相对于Windows比较简单一点;
主要使用以下方式:

  1. 一般情况下使用【ps -aux】查看,但是对于进程排查的帮助不是特别大!
    在这里插入图片描述

  2. 最常用的排查命令【netstat -ntap】查看网络连接情况和调用进程的PID再通过【ls -alt /proc/PID】查看进程的可执行文件。
    在这里插入图片描述

  3. 【pwdx pid】 获取该pid的进程启动的时候的⽬录,并不⼀定是恶意⽂件所在的路径,只是启动恶意⽂件的路径;【systemctl status pid】 获取这个进程的status信息

  4. 获取异常进程pid;
    (1)CPU占⽤

top -c -o %CPU
-c 参数显示进程的命令⾏参数
-p 参数指定进程的pid

在这里插入图片描述按Q退出;

ps -eo pid,ppid,%mem,%cpu,cmd --sort=-%cpu | head -n 5
cpu占⽤前5的进程信息

在这里插入图片描述

(2)内存占⽤

top -c -o %MEM
-c 参数显示进程的命令⾏参数
-p 参数指定进程的pid

在这里插入图片描述

ps -eo pid,ppid,%mem,%cpu,cmd --sort=-%mem | head -n 5
内存占⽤前5的进程信息

在这里插入图片描述

  1. 有些进程会起⼦进程,可以使⽤如下命令查看:
ps ajfx

如果⽆⼦进程,直接使⽤【kill -9 pid】 这样会直接杀死指定进程,但是,由这个进程产⽣的⼦进程不会被杀死;
如果进程起⼦进程,需要使⽤如下命令:【kill -9 -pid】 注意,这⾥pid前有个减号,表示杀掉这个进程组;

使⽤ ps ajfx 可以看到具体的PPID、PID、PGID、SID 信息;
在这里插入图片描述
程序运⾏起来后,会产⽣⼀个主进程,并且分配⼀个进程ID(pid),如果在运⾏期间起其他进程,那么这个其他进程就是⼦进程,同时分配相应的进程ID,并设置其PPID的值为⽗进程的pid,此时,⽗进程和所有⽣成的⼦进程会组合成⼀个进程组,并且分配⼀个进程组ID。所以,如果挖矿程序有调⽤⼦进程,那么就需要以进程组为单位杀死!

曲折上升
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
应急响应-攻击入侵排查 教学PPT
11-17
总结来说,应急响应中的攻击入侵排查是一项复杂的工作,需要对WEB日志、系统日志有深入理解,并能识别各种攻击行为的特征。同时,掌握有效的检查工具是快速定位和解决安全问题的关键。通过不断学习和实践,网络安全...
应急响应-Windows-进程排查_c# select name from win32_process
2401_84239901的博客
04-11 918
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
Linux应急响应-入侵排查
weixin_52501704的博客
10-30 796
LINUX应急响应
linux异常进程常用溯源操作命令(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Javachichi的博客
06-08 748
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。(都打包成一块的了,不能一一展开,总共300多集)
应急响应处置现场流程 - 进程排查05
战神/calmness的博客
03-22 1282
应急响应处置现场流程 - 进程排查 进程是计算机中的程序关于某数据集合上的一次运行活动,是系统进行资源分配和调度的基本单位,是操作系统结构的基础。在早期面向进程设计的计算机结构中,进程是程序的基本执行实体;在面向线程设计的计算机结构中,进程是线程的容器。无论是在Windows系统还是Linux系统中,主机在感染恶意程序后,恶意程序都会启动相应的进程,来完成相关的恶意操作,有的恶意进程为了能够不被查杀,还会启动相应的守护进程恶意进程进行守护。 ...
应急响应-Linux-进程排查
qq_50765147的博客
01-22 627
命令行 在命令行中输入【netstat】网络连接命令,可分析可疑端口、可疑地址、可疑PID及程序进程。如图所示,PID为2963的进程存在恶意外联情况 根据PID值,利用【ls -alt /proc/PID】命令,可查看其对应的可执行程序。如图所示,使用【ls -alt /proc/2963】命令,可查看PID为2963的进程的可执行程序。 也可利用【lsof-p PID】命令,查看进程所打开的文件,如图所示,使用【lsof -p 2963】命令,可查看PID为2953的进程
Linux排查异常进程
weixin_30394669的博客
03-05 6163
目录 查看当前登录用户 查看进程 查看所有进程 PS 查看进程树 pstree 系统进程管理器 top 查看后台进程 jobs 把进程放入后台的方法 终止进程 杀死单一进程 kill ...
winodws查进程的父进程id
glenshappy的专栏
04-03 1815
wmic process where Name='进程名.exe' get ParentProcessId。直接在cmd下执行就行,不用管理员权限,亲测有效。
企业应急响应和溯源排查之道.pdf
06-22
企业应急响应和溯源排查之道 企业应急响应是指在安全事件发生时,企业采取的一系列应急措施,以控制和消除安全事件的影响,保护企业的数据和资产。溯源排查是指在安全事件发生后,追溯事件的来源,了解事件的原因和...
Windows进程排查辅助工具
10-19
Windows进程排查辅助工具 Windows桌面查看所有进程 Procexp是一套功能齐全的进程信息管理工具,它使用图形界面显示(GUI),可以把它看做是Windows平台上taskmgr.exe任务管理器的扩展,事实上它完全足以代替taskmgr。
应急响应实践课程(全新升级)—课程资源与下载地址.docx
04-22
应急响应实践课程》是一门全面讲解网络安全应急处理的视频教程,旨在帮助学员掌握系统安全检测、问题排查和应对策略。课程已经全新升级,确保内容的时效性和实用性,且资源真实有效,已在知识星球平台上分享。 ...
应急排查文档-打码1
08-08
【应急排查文档-打码1】是一份详细的安全事件应急响应操作指南,主要涉及软件、插件以及在LinuxWindows操作系统中的应用。该文档旨在帮助IT专业人员在面临安全事件时,快速有效地进行系统排查和恢复。以下是文档的...
WMIC命令的利用技巧
weixin_30790841的博客
08-13 715
WMIC扩展WMI(Windows Management Instrumentation,Windows管理工具),提供了从命令行接口和批命令脚本执行系统管理的支持。在WMIC出现之前,如果要管理WMI系统,必须使用一些专门的WMI应用,例如SMS,或者使用WMI的脚本编程API,或者使用象CIM Studio之类的工具。如果不熟悉C++之类的编程语言或VBScript之类的脚本语言,或...
Web安全和渗透测试有什么关系?
Python_0011的博客
03-31 449
做渗透测试的一个环节就是测试web安全,需要明白漏洞产生原理,通过信息收集互联网暴露面,进行漏洞扫描,漏洞利用,必要时进行脚本自编写和手工测试,力求挖出目标存在的漏洞并提出整改建议,当然如果技术再精一些,还要学习内网渗透(工作组和域环境),白盒审计,app,小程序渗透那些了......可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。总之,web安全包含于渗透测试,但不是渗透测试的全部。
应急响应-Windows-进程排查
qq_50765147的博客
01-23 1024
进程(process)是计算机中的程序关于某数据集合上的一次运动活动,是系统进行资源分配和调度的基本单位,是操作系统结果的基础。在早期面向进程结构中,进程是线程的容器。无论是在Windows系统还是Linux系统中,主机在感染恶意程序后,恶意程序都会启动相应的进程,来完成相关的恶意操作,有的恶意进程为了能够不被查杀,还会启动相应的守护进行对恶意进程进行守护。对于windows系统中的进程排查,主要是找到恶意进程的PID、程序路径,有时还需要找到PPID(PID的父进程)及程序加载的DLL。
第一部分 网络安全事件响应
m0_45155797的博客
12-14 686
A集团的WebServer服务器被黑客入侵,该服务器的Web应用系统被上传恶意软件,系统文件被恶意软件破坏,您的团队需要帮助该公司追踪此网络攻击的来源,在服务器上进行全面的检查,包括日志信息、进程信息、系统文件、恶意文件等,从而分析黑客的攻击行为,发现系统中的漏洞,并对发现的漏洞进行修复。
windows上如何根据进程Id查看启动该进程的命令行
xia325的博客
12-27 588
wmic process where processid=8976 get commandline
网络安全应急响应基础技能(二)
qq_56584257的博客
07-23 117
(1)在命令行中使用[wmic process]命令,可以对进程情况进行查询.但 使用[wmic process list full /format:csv]命令, 即以csv格式列出进程的所有信息, 此时命令列出的信息过多,不便于阅读.因此,可以使用【wmic process get name,parentprocessid,processid /format:csv】命令,以csv格式来显示进程的名称、父进程ID、进程ID。在早期面向进程设计的计算机结构中,进程是程序的基本执行实体;
Windows应急响应排查
07-30
在进行Windows应急响应排查时,可以采取以下步骤: 1. 检查启动项:查看注册表中的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce键,删除异常的启动项目。同时,建议安装杀毒软件进行病毒查杀,清除残留病毒或木马。还可以使用安全软件查看启动项和管理开机时间。 2. 检查计划任务:在任务计划中查看计划任务属性,可以发现木马文件的路径。同时,通过运行`cmd`命令,输入`at`命令,检查计算机与网络上的其他计算机之间的会话或计划任务,确认是否为正常连接。 3. 检查服务自启动:通过运行`services.msc`命令,查看服务状态和启动类型,检查是否有异常服务。 4. 检查系统相关信息:通过运行`systeminfo`命令,查看系统版本以及补丁信息。此外,还可以查找可疑目录和文件,特别是在用户目录下查看是否有新建用户目录。 5. 检查注册表中的开机启动位置:包括HKLM\Software\Microsoft\Windows\CurrentVersion\Runonce、HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run、HKLM\Software\Microsoft\Windows\CurrentVersion\Run、HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run、HKCU\Software\Microsoft\Windows\CurrentVersion\Run、HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce、(ProfilePath)\Start Menu\Programs\Startup、任务管理器的启动选项卡、运行`msconfig`查看启动选项卡,以及运行`gpedit.msc`在本地组策略编辑器中查看开机运行脚本。 以上是进行Windows应急响应排查时的一些常用步骤和方法。根据具体情况,还可以结合其他工具和技术进行更深入的排查。[1][2][3]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

曲折上升

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值