Windows入侵排查

最新推荐文章于 2024-07-14 15:00:00 发布
最新推荐文章于 2024-07-14 15:00:00 发布
阅读量1.5k 收藏 6
点赞数
文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shangMD01/article/details/122003300
版权
本文介绍了Windows系统安全排查的步骤,包括检查系统账号安全、异常端口和进程、启动项、计划任务、服务,以及如何进行自动化查杀和日志分析。通过这些方法可以发现并解决潜在的安全风险,如异常账号、可疑连接、恶意服务等。
摘要由CSDN通过智能技术生成

1.1检查系统账号安全

1.检查服务器是否存在可以账号、新增账号:

打开cmd,输入lusrmgr.msc

如果有立即禁用或删除掉

2.检查服务器是否存在隐藏账号、克隆账号:

  • 检查方法:
    a、打开注册表 ,查看管理员对应键值。
    b、使用D盾_web查杀工具,集成了对克隆账号检测的功能。

3. 结合日志,查看管理员登录时间、用户名是否存在异常:

win+r输入eventvwr.msc,回车打开事件查看器

 1.2检查异常端口、进程

1.检查端口连接情况,是否有远程连接、可疑连接。

打开cmd输入命令:netstat -ano

最低0.47元/天 解锁文章
shangMD01
关注
渗透测试基础- - -windows入侵排查
weixin_67503304的博客
10-28 2185
本文主要讲述了在我们日常生活中遇到windows入侵后的排查步骤,以便更好的溯源。
windows入侵排查(操作截图).doc
07-10
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。
Windows环境黑客入侵应急与排查(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Hacker_j1的博客
07-14 1171
“在网络安全的世界里,预防是上策,而有效的应急响应则是最后的防线。”INSPIRATION黑客往往可能将病毒放在临时目录(tmp/temp),或者将病毒相关文件释放到临时目录,因此需要检查临时目录是否存在异常文件。假设系统盘在C盘,则通常情况下的临时目录如下:C:\Users\[用户名]\Local Settings\TempC:\Documents and Settings\[用户名]\Local Settings\TempC:\Users\[用户名]\桌面C:\Documents and Setting
Window入侵排查思路
qq_46202048的博客
04-03 7191
一、开机启动项 1、在Windows系统中查看启动项,首先要排查的就是开机自启项。 • 开始菜单里的程序中的自启 • C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup • 查看应用程序中是否存在陌生的程序或者可疑程序(非机主自己安装)。 2、可以通过msconfig查看启动项,win10系统的启动项转移到任务管理器中查看了 • 查看是否存在可疑项 3、查看缓存文件 C盘一般在C
浅谈Windows入侵检查
weixin_34311757的博客
11-25 469
1 准备工作 检查人员应该可以物理接触可疑的系统。因为黑客可能侦测到你可以在检查系统,例如网络监听,所以物理接触会比远程控制更好。 为了当做法庭证据可能需要将硬盘做实体备份。如果需要,断开所有与可疑机器的网络连接。 做入侵检查时,检查人员需要一台PC对检查的过程进行检查项目的结果记录。 请维护可疑服务器人员或者PC使用人员来配合,来确定机器上运行的服务和安装的软件,便于安全检查人员提...
【Window 入侵排查
Beret-81的博客
01-31 2242
通过PowerShell进行查询最常用的两个命令是【Get-EventLog】和【Get-WinEvent】,两者的区别是【Get-EventLog】只获取传统的事件日志,而【Get-WinEvent】是从传统的事件日志(如系统日志和应用程序日志)和新Windows事件日志技术生成的事件日志中获取事件,其还会获取Windows事件跟踪(ETW)生成的日志文件中的事件。Windows系统中的进程排查,主要是找到恶意进程的PID、程序路径,有时还需要找到PPID(PID的父进程)及程序加载的DLL
windows入侵排查
江小白
07-02 1085
msinfo32 命令①系统信息工具:输入 msinfo32 命令,打开系统摘要信息窗口② 正在运行的任务:系统摘要 ->软件环境 ->正在运行的任务,可以看到正在运行的任务名称、路径、进程ID等信息③ 服务:在系统摘要 ->软件环境 -> 服务 选项,查看服务的名称、状态、路径等信息④ 系统驱动程序:软件环境 -> 系统驱动程序,可以查看系统驱动程序的名称、描述、文件等信息⑤ 加载的模块:软件环境 ->加载的模块,查看加载的模块的名称、路径等信息。
windows日志分析#linux日志分析#web日志分析#windows入侵排查#linux入侵排查
09-01
本篇文章将深入探讨Windows、Linux以及Web日志分析和相关入侵排查的知识点。 首先,我们来看Windows日志分析。Windows操作系统提供了事件查看器(Event Viewer)工具,它收集并记录了系统、应用程序、安全、设置和...
Windows日志与入侵检测
09-28
日志文件作为微软Windows系列操作系统中的一个比较特殊的文件,在安全方面具有无可替代的价值。日志每天为我们忠实的记录着系统所发生一切,利用系统日志文件,可以使系统管理员快速对潜在的系统入侵作出记录和预测,但遗憾的是目前绝大多数的人都忽略了它的存在。反而是因为黑客们光临才会使我们想起这个重要的系统日志文件。1
windows下的入侵检测的部署
01-19
windows下的入侵检测的部署windows下的入侵检测的部署windows下的入侵检测的部署windows下的入侵检测的部署windows下的入侵检测的部署windows下的入侵检测的部署windows下的入侵检测的部署windows下的入侵检测的部署windows下的入侵检测的部署windows下的入侵检测的部署windows下的入侵检测的部署windows下的入侵检测的部署
应急响应篇:windows入侵排查
yj520400的博客
03-21 1505
的存在,在入侵系统后,攻击者可以在计算机上开启专属的端口来访问被害主机或植入病毒用于挖矿等,熟悉计算机的朋友应该都知道常用的端口也就那么几个,所以通过排查可疑端口能确定主机是否存在后门、是否被植入挖矿病毒等,再根据端口的PID对可疑进程对应的程序排查,确定是否为恶意程序。webshell和病毒都是windows系统的大敌,它们可以维持攻击者的系统权限、盗窃资料、感染其他主机、加密文件等,对操作系统造成非常大的危害。而与此同时操作系统也会出现异常,包括账户、端口、进程、网络、启动、服务、任务以及文件等,
第1篇:windows 入侵排查
大熊
06-09 533
应急响应
1.Windows入侵排查思路
weixin_30251829的博客
08-15 694
0x00 前言 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。 常见的应急响应事件分类: web入侵:网页挂马、主页篡改、Webshell 系统入侵:病毒木马、勒索软件、远控后门 网络攻击:DD...
windows简单入侵排查
a1b2c3是弱口令
09-03 5435
客户内网被撸了,需要援助,调查发现: 1.内部网络中,出现大量内网攻击行为,主机、服务器对内部主机进行同网段扫描,漏洞攻击; 2.内部主机对外网地址445端口进随机扫描; 3.内部主机大量访问外网恶意威胁地址; 共发现25台主机、服务器感染木马病毒 1.处置ms17-010漏洞 1.1.定位感染PC终端、服务器,永恒之蓝扫描工具 对内网进行全网扫描,定位存在漏洞...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值