应急响应:病毒处理的方法--实战案例.(排查-远程木马)

已于 2024-08-16 18:55:21 修改
阅读量1k 收藏 7
点赞数 38
分类专栏: # 应急响应 || 红蓝对抗 领域. 文章标签: 安全 web安全 安全威胁分析 网络安全
于 2024-08-12 00:42:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54977781/article/details/141109486
版权

什么是应急响应.

一个组织为了 应对 各种网络安全 意外事件 的发生 所做的准备 以及在 事件发生后 所采取的措施 。说白了就是别人攻击你了,你怎么把这个攻击还原,看看别人是怎么攻击的,然后你如何去处理,这就是应急响应。

目录:

什么是应急响应.

应急响应工作流程:

常见的应急响应分类:

病毒处理的方法:

(1)检查系统 账号安全:

(2)检查有没有异常 网络 连接.(检查异常 端 口)

(3)根据上面的进程数 查看异常 进程.

(4)检查对应的进程数 服务.

(5)查看 开机启动项,是否也有异常的.

(6)定时计划.(任务计划)

病毒处理的方法:(工具辅助版)

(1)上传辅助分析工具(PCHunter),然后查看网络 看看有没有连接的.

(2)根据上面的进程数,点击进程 然后进行结束进程.

(3)查看启动项里面有没有,有的话也结束.

应急响应工作流程:

常见的应急响应分类:

病毒处理的方法:

实战案例介绍:当主机存在一个后门木马,正在被远程黑客进行连接,我们需要做的是进行排查出这个后门木马软件,进行关闭,删除,彻底删除后面不会再启动.

入侵排查思路 实战应急响应:Windows 入侵排查思路.

(1)检查系统 账号安全:

查看黑客有没有添加了账号,添加了 则删除,防止下次黑客下次直接登录.

(2)检查有没有异常 网络 连接.(检查异常 端 口

netstat -ano -p tcp|findstr "ESTABLISHED" 

-o                           #查看进程数.
-p                           #指定 tcp 协议.
findstr "ESTABLISHED"        #查找监听连接的.

如果没有监听连接的,则可以查找可疑.

netstat -ano -p tcp|findstr "LISTEHING" 

-o                           #查看进程数.
-p                           #指定 tcp 协议.
findstr "LISTEHING"          #查找可疑.

(3)根据上面的进程数 查看异常 进程.

发现是系统文件,删除不了 所以检查服务

(4)检查对应的进程数 服务.

services.msc      # 打开服务的.(但是里面没有进程数)(所以还是根据上面的那个来)

如果不能直接结束进程,可以使用 CMD 管理员进行结束.

taskkill /pid 844 -f

taskkill /pid 进程数 -f

如果服务里面还有,则可以删除服务.

sc delete 服务名

可以根据 进程数,查找是什么文件.

tasklist|findstr 2260

tasklist|findstr 进程数

根据 文件名,来找文件的位置.

wmic process | findstr "文件名"

(5)查看 开机启动项,是否也有异常的.

msconfig    # cmd 那里点击进行.

(win server 2008 r2 == win7 以 前 的是利用命令)

(win server 2008 r2 == win7 以 后 的是任务管理器看)

(6)定时计划.(任务计划)

病毒处理的方法:(工具辅助版)

(1)上传辅助分析工具(PCHunter),然后查看网络 看看有没有连接的.

(2)根据上面的进程数,点击进程 然后进行结束进程.(随便也删除了进程文件)

(3)查看启动项里面有没有,有的话也结束.

    

   

     

学习链接:06-手工杀毒流程_哔哩哔哩_bilibili

半个西瓜.
关注
  • 38
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
网络安全事件应急响应实战
悦分享
09-14 1万+
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业。新闻源网站一般权重较高,收录快,能够被搜索引擎优先收录,是黑灰产推广引流的必争之地,很容易成为被攻击的对象。短连接(short connnection)是相对于长连接而言的概念,指的是在数据传送过程中,只在需要发送数据时,才去建立一个连接,数据发送完成后,则断开此连接,即每次连接只完成一项业务的发送。
jdk-8u181-linux-x64.tar.gz
07-20
export CLASSPATH=.:$JAVA_HOME/lib/dt.jar:$JAVA_HOME/lib/tools.jar ``` 请确保将`/path/to/jdk1.8.0_181`替换为实际的解压路径。 4. **使更改生效**:保存并关闭文件后,运行`source ~/.bashrc`或`source ~/....
应急响应】Windows应急响应 - 基础命令篇
最新发布
网络安全从业者的学习笔记
07-02 1270
在如今的数字化时代,Windows系统面对着越来越复杂的网络威胁安全挑战。本文将深入探讨在Windows环境下的实战应急响应策略。我们将重点关注实际应急响应流程、关键工具的应用,以及如何快速准确地识别和应对安全事件。通过分享实际案例分析,旨在帮助网络安全从业者提升应急响应能力,有效保护关键资产和数据的安全
应急响应】2020应急响应基础-Windows、Linux合集
qq_34965596的博客
07-02 2228
文章目录0x00 应急响应介绍常见的应急响应事件分类入侵排查思路0x01 Windows - 应急响应处置过程1.1 检查系统账号安全1.1.1 检查服务器是否有弱口令1.1.2 检查远程管理端口是否对公网开放1.1.3 查看服务器是否存在可疑账号、新增账号1.1.4 查看服务器是否存在隐藏账号、克隆账号1.2 检查异常端口、进程1.2.1 检查端口连接情况,是否有远程连接、可疑连接1.2.2 检查进程1.3 计划任务1.3.1 任务计划程序1.3.2 自启动1.3.3 组策略1.4 查看可疑目录及文件1.
应急响应-hw复习
qq_56438857的博客
06-18 1804
hw要开始啦,整理了笔记,顺便分享出来,快来瞅瞅呀。
应急响应 - Webshell 处理 15
战神/calmness的博客
02-05 9951
目录 Webshell概述 Webshell分类 JSP型Webshell脚本 ASP型Webshell脚本 PHP型Webshell脚本 Webshell用途 1.站长工具 2.持续远程控制 3.权限提升 4.极强的隐蔽性 Webshell检测方法 1.基于流量的Webshell检测 2.基于文件的Webshell检测 3.基于日志的Webshell检测 Webshell防御方法 常规处置方法 入侵时间确定 Web日志分析 漏洞分析 漏洞修复 常用工具 扫.
应急响应实战笔记——入侵排查篇:② Linux 入侵排查
君逍遥o
03-27 1415
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。
Linux 应急响应流程及实战演练
jihaichen的博客
02-03 8907
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 Linux 服务器入侵排查的思路。 0x01 入侵排查思路 一、账号安全 基本使用: 1、用...
浅析Linux系统入侵排查应急响应技术
道阻且长,行则将至。
07-16 3145
文章目录前言系统分析用户信息排查进程端口排查系统服务排查日志分析SSH暴力破解Web应用日志病毒查杀总结 前言 当企业发生网络安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,同时还需进一步查找入侵来源,还原入侵事故过程,给出解决方案与防范措施,为企业挽回或减少经济损失。 常见的网络安全事件: Web入侵:挂马、篡改、Webshell; 系统入侵:系统异常、RDP爆破、SSH爆破、主机漏洞; 病毒木马:远控、后门、勒索软件; 信息泄漏:拖裤、数据库登录(弱口令); 网络流量:
Windows应急响应0基础讲解国赛信安管理与评估二阶段
Geek极安云科-致力于网络安全事业
11-22 2374
遇到的比较多的还是Web的日志比较多,很多省赛以及22 23国赛都是Web的日志,如果出了Windows的,那flag基本上都是藏在计划任务 事件日志 这些地方,且极大可能会出中间件日志的题目,那么今天给大家讲一下关于Windows的应急响应。常见的应急响应事件分类:Web 入侵:网页挂马、主页篡改、Webshell系统入侵:病毒木马、勒索软件、远控后门。
应急响应工具集及应急响应实战笔记.zip
08-04
网络安全应急响应工具集及应急响应实战笔记 辅助工具集 进程分析工具集 练手样本集 流量分析工具集 启动项分析工具集 信息收集工具集 专杀工具集 Webshell查杀集 第01章:入侵排查篇 第02章:日志分析篇 第03章:...
应急响应-linux入侵排查.md
06-19
应急响应-linux入侵排查.md
openssh-9.0p1-1.el7.x86_64.rpm tar.gz
05-11
通过SSH,运维人员可以实现远程监控、日志查看、自动化脚本执行、故障排查等任务,极大地提高了工作效率。同时,由于其支持加密传输,保证了数据的安全性。 总结,OpenSSH 9.0p1作为一款强大的安全连接工具,不仅...
计算机常见故障处理病毒防护培训-图文.pptx
11-21
【计算机常见故障处理】 ...总的来说,处理计算机故障需要有逻辑思维和耐心,通过逐步排查和应用适当的故障处理方法,大多数问题都能迎刃而解。同时,了解常见的故障代码和硬件故障现象也是提升故障解决能力的关键。
行业分类-设备装置-机床故障排查教学系统.zip
08-26
4. **案例研究**:通过实际故障案例,演示故障排查的全过程,帮助学习者理解和应用理论知识,增强实战经验。 5. **预防性维护**:强调预防性维护的重要性,讲解定期检查、保养和合理使用机床的方法,以降低故障发生...
应急响应实战笔记.rar
02-14
应急响应实战笔记,包含入侵排查篇:Windows 入侵排查、Linux 入侵排查、常见的 Webshell 查杀工具、如何发现隐藏的 Webshell 后门、勒索病毒自救指南;日志分析篇:Windows日志分析、Linux日志分析Web日志分析、...
instantclient-basic-win32-11.1.0.6.0.zip
10-20
- 连接到远程Oracle数据库并执行SQL查询。 - 编写和测试PL/SQL代码。 - 进行性能调优和问题排查。 - 创建数据库连接字符串,通过TNSNames服务配置文件实现连接管理。 - 为应用程序提供数据库连接支持,例如在Web应用...
TeamViewer 华为addon插件 QuickSupport QS Add-On: Huawei 11.0.5441
12-21
TeamViewer是一款全球知名的远程控制软件,它允许用户通过网络实现对其他设备的远程访问和支持。在企业环境中,尤其是IT技术支持领域,TeamViewer被广泛应用于远程解决问题、设备维护和协作。华为addon插件Quick...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

半个西瓜.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值