应急响应-分析(windows)

1.文件分析——开机启动项

一般情况下,各种木马、病毒等恶意程序,都会在计算机开机启动过程中自启动
在windows系统中可以通过以下三种方式查看开机启动项:
(1)任务管理器
在这里插入图片描述

(2)利用msconfig
(3)利用注册表 regedit

2.文件分析——tmp临时异常文件

tmp(临时文件),使用%temp%打开文件夹
查看 temp文件夹发现pe文件(exe\dll\sys),或者是否具有特别大的tmp文件
将文件上传至威胁分析平台查看是否有恶意行为
在这里插入图片描述

3.文件分析——浏览器信息分析

在被黑客拿下的服务器后,很有可能会使用浏览器进行网站的访问,因此我们可以查看浏览器记录,探索浏览器是否被使用,下载恶意代码 查看浏览器记录:brosinghiatoryview
下载地址:https://www.nirsoft.net/utils/browsing_history_view.html
可以查看文件名称、下载地址、网页地址、开始下载时间、结束时间、保存位置等等在这里插入图片描述 浏览器文件下载记录查看:broserdownloadview 下载地址:https://www.nirsoft.net/utils/web_browser_downloads_view.html浏览器cookie信息查看:chromecookiesview、iecv、edgecookiesview
下载:只接搜,找官网下载

4.文件分析-文件时间属性

在windows系统下,文件属性的时间属性具有:创建时间、修改时间、访问时间(默认情况下禁用)
在默认情况下,计算机是以修改时间作为展示
右击文件,属性,查看文件创建时间、修改时间、访问时间
如果修改时间要早于创建时间那么这个文件存在很大可疑,使用中国菜刀等工具修改的,修改时间通过文件属性可以查到创建时间,修改时间,访问时间

5.文件分析——最近打开文件分析

windows系统中默认记录系统中最近打开使用的文件信息
输入%userprofile%Recent

find /?
find 参数 “查找内容” 文件路径

6.进程分析-可疑进程发现与关闭

计算机与外部网络通信是建立在tcp或udp协议上的,并且每一次通信都是具有不同的端口(0~65535)。如果计算机被木马后,肯定会与外部网络通信,那么此时就可以通过查看网络连接状态找到对应的进程ID,然后关闭进程ID就可以关闭连接状态
netstat -ano | find “ESTABLISHED” 查看网络建立连接状态
tasklist /svc | find “PID” 查看具体PID进程对应的程序
taskkill /PID pid值

7.系统信息——windows计划任务

在计算机中可以通过设定计算任务,在固定时间执行固定操作,一般情况下,恶意代码也有可能在固定的时间设置执行
使用schtasks命令可以查看
或在管理器中查看计划任务管理
在这里插入图片描述

8系统信息——隐藏账号发现与删除

隐藏账户,是指“黑客”入侵之后为了能持久保持对计算机访问,而在计算机系统中建立的不轻易被发现的计算机账户
最为简单的隐藏账户建立:
net user test$ test /add
net localgroup adminstrator test$ /add 其中 符号可以导致系统管理员在使用 n e t u s e r 时无法看到 t e s t 符号可以导致系统管理员在使用net user时无法看到test 符号可以导致系统管理员在使用netuser时无法看到test用户

在这里插入图片描述

9.恶意进程-发现与关闭

恶意代码在windows系统中运行过程中,将以进程的方式进行展示,其中恶意进程进行着各种恶意行为,对于可执行程序,可以直接使用杀毒软件进行查杀,但是并非所有的恶意进程都能够被查杀,此时可以手动查杀,使用工具psexplore,然后利用virustotal.com进行分析,对恶意相关的服务进行关闭
在选项中选择virutotal.com
在这里插入图片描述
选择使用virustotal.com
在这里插入图片描述
发现红色标记的进程,进行关闭

10.系统信息-补丁查看与更新

windows系统支持补丁以修补漏洞,可以使用systemInfo查看系统信息,并展示对应的补丁信息编号,也可以在卸载软件中查看系统补丁和第三方软件补丁
在win10中,使用快捷键 win+i 然后选择windows更新

在这里插入图片描述
在这里插入图片描述

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值