应急响应之Windows主机入侵排查

最新推荐文章于 2024-04-25 09:53:23 发布
最新推荐文章于 2024-04-25 09:53:23 发布
阅读量1.2k 收藏 8
点赞数 1
分类专栏: 应急响应 文章标签: windows 服务器 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46145025/article/details/126333959
版权

一、排查思路

1.对资产进行排查

在取得客户授权的前提下,针对暴露的资产排查。

2.对主机的入侵排查

一般从网络连接、进程、账号信息、进程任务、自启动项等进行排查。

二、排查内容

1.隐藏文件或程序显示

在文件资源管理器的菜单中,点击查看下的选项,设置显示隐藏的文件以及扩展名等,以便查看全部的文件。
在这里插入图片描述

2.网络连接

在命令行中,输入netstat -ano 查看当前的网络的连接状态。

1.查看特殊端口(22、3389等)是否有连接异常。

2.查看当前的主机与外网地址的连接情况,使用IP查询工具(微步、站长之家),定位IP信息。

3.将网络连接中,对应进程的对应文件进行检测(根据pid对应的任务管理器的服务下的文件。检测工具:https://www.virustotal.com/)

在这里插入图片描述

3.敏感文件目录

对以下目录进行筛查

1.临时目录(/TEMP目录)

2.%APPDATA%目录(回车即可打开C:\Users\Administrator\AppData\Roaming)

3.各种浏览器、默认下载目录和Windows的Recent目录

4.回收站中存在的文件

4.注册表

在运行中打开regedit,查看注册表

1.清除异常多余账号

在注册表中,该 计算机\HKEY_LOCAL_MACHINE\SAM\SAM\Domains 路径下看是否存在异常账号(注意:在查看SAM时,需要授权(完全控制权),在做完相应的工作后,需要移除授权。)

在这里插入图片描述

5.账号

1.点击计算机的管理菜单,进入计算机管理页面,点击本地用户和组,可以查看用户信息
在这里插入图片描述

2.命令行下输入net user即可查看存在的用户账户

在这里插入图片描述

3.在命令行下输入net localgroup Administrators,即可查看账号异常情况
在这里插入图片描述

6.自启动

1.利用类似火绒附带的火绒剑分析工具,查看启动项。有异常的点击提取文件,将文件上传到检测工具检测异常。

在这里插入图片描述

2.在本地组策略中(打开方式:运行中输入gpedit.msc)查看自启项是否异常,点击菜单的属性,是否写入了脚本等

在这里插入图片描述

7.日志

点击计算机的管理菜单,进入计算机管理页面,点击事件查看器,即可查看各种日志。包括登陆日志中的暴力破解、账号增删信息、各种访问登陆日志等。

在这里插入图片描述

莫黎小天
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
第1篇:windows 入侵排查
大熊
06-09 489
应急响应
Windows服务器被入侵后如何实现排查工作,应该从那几方面入手,排查什么内容
tigerman20201的博客
11-25 1426
1. 检查系统账号 (1) 检查远程管理端口是否对公网开放,服务器是否存在弱口令。 检查方法: 检查防火墙映射规则,获取服务器账号登录,也可根据实际情况咨询相关管理员。 (2)查看服务器是否存在可疑账号或新增账号。 检查方法: 打开cmd窗口,输入lusrmgr.msc命令,查看是否有新增或可疑账号,如果管理员群组的(Administrators)里有新增账户,请立即删除。 (3)查看服务器是否存在隐藏账号。 检查方法: 运行CMD命令使用net use,看不到test$这个账号,但在控制面板和本地
应急响应Windows 入侵排查
最新发布
weixin_45997442的博客
04-25 1571
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。常见的应急响应事件分类:Web 入侵:网页挂马、主页篡改、Webshell系统入侵:病毒木马、勒索软件、远控后门网络攻击:DDOS 攻击、DNS 劫持、ARP 欺骗针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 Windows 服务器入侵排查的思路。
Windows应急响应--网站被入侵后的排查【跟随安全狍老师学习总结】
2201_75866896的博客
07-05 705
学习安全狍老师的小笔记
网络安全应急响应----2、Windows入侵排查
七天
03-17 5928
文章目录一、系统排查1、系统信息2、​​用户信息3、启动项4、计划任务5、服务自启动二、进程、端口排查1、进程排查2、端口排查三、文件痕迹排查1、敏感目录文件2、基于时间点查找四、日志分析1、系统日志2、安全性日志3、应用程序日志五、内存分析六、流量分析 一、系统排查 1、系统信息 //可以显示本地计算机的硬件资源、组件、软件环境、正在运行的任务、服务、系统驱动程序、加载模块、启动程序等。 C:\Users\test>msinfo32 //Microsoft系统信息工具:Msinfo32.
Windows主机异常排查方法
wine12o的博客
01-05 1076
主机异常排查
应急响应-windows入侵检测分析、检测以及病毒查杀的权威性工具
xianjie0318的博客
07-09 2458
2.1 病毒分析 从windows系统信息、软件、进程、内核、注册表、网络、文件、服务等各类系统信息展示并给出分析,提供给专家或安全人员分析使用工具。 1)PCHunter:http://www.xuetr.com PC Hunter是一个Windows系统信息查看软件,同时也是一个手工杀毒辅助软件。 常用进程、内核驱动、端口、内核、磁盘、卷、键盘、网络层等过滤驱动检测、注册表编辑、进程iat、eat、inline hook、patches检测和恢复、文件系统、SPI、启动项、服务、Host文件、映像
linux-一个linux信息搜集小脚本主要用于应急响应
08-13
在网络安全领域,应急响应是处理安全事件的关键环节。在Linux环境中,有效的信息搜集是应急响应的第一步,它有助于我们理解系统的当前状态,发现潜在的安全威胁。这个名为"Linux信息搜集小脚本"的工具,正是为这样的...
网络安全应急演练方案脚本
11-19
演练的目标不仅在于检验应急响应能力,还关注于完善准备、锻炼队伍、磨合机制和安全教育。通过这样的演练,可以确保团队熟悉应急预案,增强应急处置能力,理顺工作流程,并提高员工的安全意识。 演练组织由安全室...
异常情况应急处理手册.docx
11-11
异常情况应急处理手册主要针对IT系统的突发问题,如系统故障、软件故障、硬件故障、数据库故障、网络故障和病毒入侵等情况,提供了详细的应急响应预案。这些预案旨在确保业务连续性和数据安全性,降低对用户服务的...
063-日志和应急的那些事.pdf
09-20
【日志分析与应急响应】 在互联网安全领域,日志是关键的信息来源,它们记录了系统、网络和服务的运行情况,对于识别潜在的安全威胁和应急响应至关重要。将应急响应人员比作医生,日志就像病人的症状描述,越详细,...
Windows操作系统安全及入侵排查
09-30
本PPT介绍: 1、Windows操作系统的安全配置,通过设置这些配置项可以在一定程度上保证系统的安全性,有效降低被攻击的风险,为业务稳定运行提供一定的保障。安全配置加固涉及的方面包括:补丁管理、账号口令、授权管理、服务管理、功能优化、文件管理、远程访问控制防护、日志审计。课程以Windows server 2008为例,根据上述八大方面提供了详尽的配置操作及说明。 2、Windows系统被入侵后可能出现的异常现象,通过这些异常特征来判断系统是否被入侵。课程还介绍了针对系统入侵应急排查步骤和要求,主要涉及的排查内容包括:检查系统应用日志、检查账户、检查文件、检查系统启动项和计划任务、检查进程和网络连接、检查是否存留后门等恶意程序,根据上述检查内容提供相关的操作及说明。
城市地下管廊入侵系统设计方案及对策.doc
10-05
因此,建立一套有效的防X系统对于保障城市正常运行、预防潜在风险以及提高应急响应能力具有不可忽视的作用。 4、地下管廊入侵检测报警系统的构成 地下管廊入侵报警系统通常由多个子系统组成,包括智能传感器(如WS-...
经验分享:排查主机排查是否入侵
CCIE21820的博客
09-23 789
经验分享:排查主机排查是否入侵
Windows入侵排查
Williamanddog的博客
02-08 556
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企 业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解 决方案与防范措施,为企业挽回或减少经济损失。 常见的应急响应事件分类: Web入侵:网页挂马、主页篡改、Webshell 系统入侵:病毒木马、勒索软件、远控后门 网络攻击:DDOS 攻击、DNS 劫持、ARP 欺骗 使用环境:Windows 7。
window入侵排查
u012207466的博客
06-12 2339
## 第1篇:window入侵排查 常见的应急响应事件分类: web入侵:网页挂马、主页篡改、Webshell、后台弱口令 系统入侵:病毒木马、勒索软件、远控后门、系统命令执行、反序列化漏洞 网络攻击:DDOS攻击、DNS劫持、ARP欺骗 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Window服务器入侵排查的思路。 ### 0x01 入侵排查思路 ####...
应急响应Windows应急响应排查思路,应急响应基础技能
热门推荐
wangyuxiang946的博客
04-17 1万+
结合实战案例逐步讲解Windows应急响应排查思路及具体操作步骤
【实战】服务隐藏与排查 | Windows 应急响应
jijisaq的博客
03-26 1366
攻击者通过创建服务进行权限维持过程中,常常会通过一些手段隐藏服务,本文主要演示通过配置访问控制策略来实现隐藏的方式以及排查方法的探索不包含通过修改内存中链表进行隐藏的方式。
黑客的入侵方式你知道几种?
m0_61869253的博客
10-13 2793
木马程序可以直接侵入用户的计算机并进行破坏,它常被伪装成工具程序或者游戏等诱使用户打开带有木马程序的邮件附件或从网上直接下载,一旦用户打开了这些邮件的附件或者执行了这些程序之后,这些木马病毒🦠程序就会留在用户的计算机中,并在用户的计算机系统中隐藏,当Windows启 动时,这些muma便被悄悄执行。攻击者在收到这些信息后,再利用这个潜伏在其中的程序,就可以任意地修改用户的计算机参数设定,复制文件,窥视用户整个硬盘中的内容等,从而达到控制用户计算机的目的。⑨历年CTF夺旗赛题解析。⑥HW护网行动经验总结。
windows应急及实战
11-27
"Windows应急响应与实战技术" 在面临网络安全威胁时,Windows系统的应急响应和实战技巧至关重要。这包括迅速恢复系统功能,追踪攻击源头,以及实施预防措施来保护企业免受损失。以下是对Windows应急流程及实战演练...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值