蓝队应急响应- windows常用命令

最新推荐文章于 2024-09-20 16:22:44 发布
最新推荐文章于 2024-09-20 16:22:44 发布
阅读量569 收藏 7
点赞数 13
文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39445116/article/details/135130744
版权

在蓝队日常中,免不了被入侵,那么就需要对目前的主机或者服务器进行检查,在日常生活中,人们使用最多的还是windows,比如客服的电脑中了木马,这个时候就需要蓝队去进行溯源等后续操作。

1. msinfo32.exe 打开microfost 系统信息⼯具查询系统版本信息
2. 排查网络  netstat -ano
3. 查看进程  tasklist | findstr "320"
4.临时文件分析,在文件浏览器地址栏中输入  %temp%

5. taskschd.msc 打开计划任务 查看属性 检测是否存在 可疑的任务

6.查看当前用户 query user

7.msconfig 查看开机启动项和服务有⽆敏感内容

8. %UserProfile%\Recent ,查看最近打开的文件,可以上传到查杀平台进行检查,

为保证准确性,可以丢到多个平台中进行检测:

在线检测分析平台
http://www.virscan.org //多引擎在线病毒扫描⽹ v1.02,当前⽀持 41 款杀毒引擎
https://habo.qq.com //腾讯哈勃分析系统
https://virusscan.jotti.org //Jotti恶意软件扫描系统
http://www.scanvir.com //针对计算机病毒、⼿机病毒、可疑⽂件等进⾏检测分析
恶意软件检测平台
VirSCANhttps://www.virscan.org

VirusTotal:https://www.virustotal.com

Hybrid Analysis:https://www.hybrid-analysis.com

魔盾安全分析https://www.maldun.com

微步在线云沙箱:https://s.threatbook.cn

奇安信威胁情报中心https://ti.qianxin.com

9. 打开任务管理器或者命令行输入tasklist查看可以的进程,

 

未完待续----

注意:

本文是我在学习网络安全过程中总结的知识,如有谬误可直接联系我进行修改,谢谢。

强里秋千墙外道
关注
Qt5.12之程序发布教程(Windows
future_ai的博客
12-25 5206
Windows平台下,用Qtcreator生成的SerialPort.exe,直接打开,可能出现以下等问题。 这是缺少相应的库文件,只要把库文件找到,并粘贴在SerialPort.exe目录下就可以了。 目录 一、找到SerialPort.exe的路径,并复制该路径。 二、按下win+Q(win10)打开Windows搜索框,输入qt,就很容易找到qt 5.12.0 for desk...
一文解决windows电脑端口被占用问题,专治疑难杂症和port xxxx was already in use 说再见
热门推荐
ratel的博客
03-26 1万+
一文解决windows电脑端口被占用问题,专治疑难杂症和port xxxx was already in use 说再见,windows电脑端口如何查询端口被哪些程序占用,以及如何杀死这个进程,
蓝队应急响应Windows
xf555er的博客
08-08 641
有些PE(exe,dll,sys)文件会隐藏在Temp文件目录里,还有一些比较大的TMP文件,这些都是比较可疑的,需将这些可疑的文件发到检测病毒的网站进行检测。文件的创建时间永远是早于或等于修改时间,如果修改时间早于创建时间,就说明该文件十分可疑,因为webshell管理工具是可以修改文件的修改时间。查看已建立的网络连接,可以通过非寻常的端口来确认可疑程序,443,80端口大部分都为正常,特别要注意那些不寻常的端口。通过筛选功能可以更方便查询到指定的事件内容,不同的事件ID对应不同的事件操作。......
蓝队防守技术-3-应急响应
qq_57410330的博客
04-09 1104
关于蓝队防守的应急响应
Windows应急响应(超详细)
csjjjd的博客
07-15 1176
要进行应急响应,通俗来讲,首先你得知道攻击你的是啥。常见的攻击归类如下:1.系统入侵:病毒木马、勒索软件、远控后门2.web入侵:网页挂马、主页篡改、Webshell 3.网络攻击:DDOS攻击、DNS劫持、ARP欺骗这个在应急响应整个流程里面还是相对容易的,比如你的网站出事了,被人挂了马或图片,很明显就是web入侵。如果你被勒索或者被挖矿,或者病毒入侵,都可以视为系统入侵,因为已经打到了你的系统层面,可以调用你的一些系统权限,很明显就是一个系统入侵。网络攻击查看一手流量分析,实时监控网络就可以看出,不必多
应急响应-hw复习
qq_56438857的博客
06-18 1831
hw要开始啦,整理了笔记,顺便分享出来,快来瞅瞅呀。
应急响应-Yara规则木马检测
HBohan的博客
01-05 1043
Yara是一个基于规则的恶意样本分析工具,可以帮助安全研究人员和蓝队分析恶意软件,并且可以在应急取证过程中自定义检测规则来检测恶意软件,Yara支持有木马文件落盘和无木马文件落盘(内存马)的检测,由一组字符串和一个确定的布尔表达式组成。
6.应急响应-产品-hw
qq_50765147的博客
08-28 90
概念英文是Incident Response 或 Emergency Response 等,通常是指一个组织为了应对各种意外事件发生前所做的准备,以及在意外事件发生后所采取的措施网络安全应急响应是指针对已经发生或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全。网络安全应急响应主要是为了让人们对网络安全有所认识,有所准备,以便在遇到突发的网络安全事件时能够做到有序应对,妥善处理。作用和意义未雨绸缪。
应急响应-HW之Linux 应急响应之入侵排查技巧
lza20001103的博客
08-26 725
HW之Linux 应急响应之入侵排查技巧 文章目录HW之Linux 应急响应之入侵排查技巧识别现象->清除病毒->闭环兜底->系统加固01识别现象系统CPU是否异常是否存在可疑进程安全网关有无报警有无可疑历史命令02清除病毒结束病毒进程03闭环兜底检查是否存在可疑定时任务检查是否存在可疑服务检查系统文件是否被劫持检查是否存在病毒守护进程04系统加固修改SSH弱密码添加命令审计生成效果打上常见Web漏洞补丁结尾 Linux环境下处理应急响应事件往往会更加的棘手,因为相比于Windows,Li
2024hw 蓝队面试题合集
Sumarua的博客
07-01 725
2024HW蓝队面试题合集,面试题及答案
hw蓝队初级面试总结_weblogic反序列化流量特征
2401_84253089的博客
04-28 720
使用@type的value字段执行反序列化的类,例如JdbcRowSetImpl这个类,接着将这个类中的成员变量datasourcename的value值设为rmi远程加载类,这样fastjson在将传入的类反序列化、实例对象后,会通过成员变量传入的value值,请求rmi服务器,最后rmi返回远程类,fastjson执行这个远程恶意类。3、修改/etc/profile的文件,在尾部添加相应显示间、日期、ip、命令脚本代码,这样输入history命令就会详细显示攻击者 ip、时间历史命令等;
红队系列-溯源与应急反制专题
aming小老弟
11-09 481
日志分析、流量特征分析、内存马。
【渗透应急溯源经验篇】网络安全面试
大河之犬的博客
05-17 3092
5、我们发现一个攻击(如平台登录后的SQL注入)可以通过流量回溯装置抓取那个被登录用户的用户名和密码,登录平台后自己利用发现的payload进行尝试,看是否能注入成功。如果一个数据包非常大,几个G或者一个G,我们就考虑数据包是否进行了重传,然后查看数据包的重传数,打个比方就是刷新,如果短时间重传数非常多,就为机器操作,判定为攻击。SMB,SSH,MSSQL,MySQL等协议比较多,看包的大小,成功登陆的包很大。3、确定数据流,攻击的数据流我们是要看HTTP,TCP,还是ssh。
剖解杨辉三角
2302_81707171的博客
09-17 355
杨辉三角
【黑马点评】已解决java.lang.NullPointerException异常
wzc200406的博客
09-17 994
以前在遇到bug时,我总喜欢做的事是将别人写的代码复制回来。但是随着学习的深入发现,其实调代码是一件正常不过的事情,为此,锻炼自己发现问题、定位问题、解决问题能力十分重要,不断地刨根问底,才能愈发印象深刻。
Linux下root用户共享conda环境给其他用户
JJ-Li的博客
09-17 361
然后在newuser下查看conda环境列表,也可以看到root下的环境了。然后我们需要给新用户添加conda环境变量,并且初始化。在root下先给环境添文件夹加普通用户的权限。比如我的root用户的base环境。首先可以先用命令查看环境存储位置。接下来新建一个用户,设置密码。下面是完整操作流程图。
Java中ArrayList和LinkedList的比较
最新发布
m0_74293254的博客
09-20 723
关于 ArrayList 和 LinkedList 在添加 (add) 和删除 (remove) 操作上的性能比较,传统观点认为由于 ArrayList 需要移动数据,而 LinkedList 只需调整链表指针,因此 LinkedList 更快。然而,实际性能并不是这么简单,两者在不同情况下的表现差异较大,在Java中,ArrayList和LinkedList都是常用的列表实现类,它们都实现了List接口,但在内部工作原理和性能方面有显著差异。
判断2个excel文件差异的条数
wujing1_1的博客
09-14 445
判断2个excel文件差异的条数。
"网络安全渗透测试与漏洞:红队和蓝队发展计划 - Part 1
O "Plano de Estudos Cyber Security - Parte 1 Red Team.pdf" é um recurso elaborado por Joas Antonio, voltado para auxiliar os estudos em segurança cibernética, ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值