Windows入侵排查篇——

已于 2024-07-10 15:43:17 修改
阅读量1k 收藏 7
点赞数 11
分类专栏: 应急响应 文章标签: windows 安全 网络安全
于 2024-05-30 18:59:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_55762309/article/details/139331744
版权

Windows入侵排查方法

  • 服务器

  • 查看服务器是否有弱口令,远程管理端口是否对公网开放
    • 检查方法:视具体情况询问相关管理人员
  • 查看服务器是否存在可疑账号、新增账号
    • 检查方法:通过win+R打开 输入lusrmgr.msc
  • 查看服务器是否存在隐藏账号、克隆账号
    • 检查方法:打开注册表,查看管理员对应键值
    • 使用D盾_webshell查杀工具,可以以对克隆账号进行检测

  • 系统日志

  • 结合系统登录日志,查看管理员登录时间、用户名是否存在异常
    • 检查方法:win+R打开运行,输入“eventvwr.msc”回车之后,打开“事件查看器”
    • 导出windows日志——安全 利用 Log Parser进行分析
    • query user 可以查看是否在线

  • 端口

  • 检查端口连接情况,是否有远程连接,可疑连接
  • netstat  -ano  查看网络连接,定位可疑ESTABLISHED
  • 根据netstat定位的pid,通过tasklist  |  findstr  "pid"定位其进程程序

  • 进程

  • 检查进程
    • 检查方法:开始—>运行->输入msinfo32依次点击“软件环境—>正在运行任务”就可以查看到进程的详细信息,比如进程路径、进程ID、文件创建日期、启动时间等

启动项

  • 检查启动项
    • 检查方法:检查服务器是否有异常的启动项
    • 登录服务器,单击开始—>所有程序—>启动,默认情况下此目录在是一个空目录,确认是否有非业务程序在该目录下
    • 单击开始菜单—>运行msconfig,查看是否存在命名异常的启动项目,是则取消勾选命名异常的启动项目,并到命令中显示的路径删除文件
    • 单击—>开始—>运行,输入regedit,打开注册表,查看开机启动项是否正常

    • 组策略,运行gpedit.msc

计划任务

  • 检查计划任务
    • 检查方法:单击—>控制面板—>系统和安全—>管理工具—>任务计划,查看计划任务属性,可以发现木马文件的路径

服务

  • 服务自启动
    • 检查方法:单击开始—>运行,输入servcies.msc,注意服务状态和启动类型,检查是否有异常服务

        

Window入侵排查
qq_40907977的博客
12-26 1011
0x00 前言 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。 常见的应急响应事件分类: web入侵:网页挂马、主页篡改、Webshell 系统入侵:病毒木马、勒索软件、远控后门 网络攻击:DDOS攻击、DNS劫持、ARP...
应急响应windows入侵排查
A_991128a的博客
02-22 969
应急响应(Incident Response Service,IRS)是当企业系统遭受病毒传播、网络攻击、黑客入侵安全事件导致信息业务中断、系统宕机、网络瘫痪,数据丢失、企业声誉受损,并对组织和业务运行产生直接或间接的负面影响时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,同时分析入侵原因、还原入侵过程、评估业务损失、溯源黑客取证并提出解决方案和防范措施,减少企业因黑客带来的相关损失。本文主要讨论windows入侵后的排查思路。windows入侵排查利器:火绒剑。
快速自检电脑是否被黑客入侵过(Windows版)
noob1561的博客
12-28 3162
我们经常会感觉电脑行为有点奇怪, 比如总是打开莫名其妙的网站, 或者偶尔变卡(网络/CPU), 似乎自己"中毒"了,但X60安全卫士或者X讯电脑管家扫描之后又说你电脑"非常安全", 那么有可能你已经被黑客光顾过了. 这种时候也许要专业的取证人员出场,但似乎又有点小提大作. 因此本文介绍一些低成本的自检方法, 对于个人用户可以快速判断自己是否已经被入侵过.
系统入侵排查
最新发布
ZL_1618的博客
04-01 918
相对于各种服务器厂商,我觉得目前做的还是特别好。如阿云和腾讯云。一旦服务器有异常,会第一时间通知管理员。当然很多安全产品需要大量的经济支持。第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。
windows 入侵排查
Stestack的博客
05-22 370
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。常见的应急响应事件分类:Web 入侵:网页挂马、主页篡改、Webshell系统入侵:病毒木马、勒索软件、远控后门网络攻击:DDOS 攻击、DNS 劫持、ARP 欺骗针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 Windows 服务器入侵排查的思路。
入侵排查(window)
weixin_51692662的博客
09-14 204
入侵排查、应急响应
Window入侵排查思路
qq_46202048的博客
04-03 7314
一、开机启动项 1、在Windows系统中查看启动项,首先要排查的就是开机自启项。 • 开始菜单的程序中的自启 • C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup • 查看应用程序中是否存在陌生的程序或者可疑程序(非机主自己安装)。 2、可以通过msconfig查看启动项,win10系统的启动项转移到任务管理器中查看了 • 查看是否存在可疑项 3、查看缓存文件 C盘一般在C
网络安全——应急响应之Windows入侵排查
CoffeMilk的博客
11-08 973
网络安全所说的应急响应(Emergency Response)通常是指在突发事件发生后,为了减少损失和危害,迅速采取的一系列应对措施,保护生命财产安全,恢复正常秩序的过程。这说的突发事件特指:影响系统(包含服务器主机和操作系统、网络范围)正常工作的情况(如:黑客入侵服务器、黑客劫持服务器、病毒爆发、系统异常宕机、应用服务瘫痪、信息窃取、DDOS攻击、网络流量异常等内容)
应急响应——Windows入侵排查
negnegil的博客
09-03 2449
Windows安全应急处置 从以下方面进行排查windows主机 1.是否有异常进程、用户 2.异常的服务、计划任务、启动项 3.注册表信息 4.端口开放情况 5.文件及文件共享 6.防火墙设置 7.异常会话 8.日志 9.其他 10.工具 进程 获取系统上正在运行的所有进程列表, 可以根据以下内容查找可疑进程 CUP、内存占用率长时间过高的进程 没有签名或描述信息的进程 非法路径的进程 进程的属主 也可以使用某些软件,如D盾_web查杀工具,微软的Process Explorer工具等进行排查 #
网络安全——应急响应之Linux入侵排查
CoffeMilk的博客
11-13 1105
本文主要介绍关于Linux系统被入侵后的应急响应工作流程和排查内容
网络安全——应急响应之入侵排查
W981113的博客
02-14 7469
一、windows入侵排查 1.入侵排查思路 1.1 检查系统账号安全 1.查看服务器是否有弱口令、远程管理端口是否对公网开放 (根据实际情况咨询相关服务器管理员) 2.检查服务器是否存在可疑账号、新增账号 (打开cmd窗口,输入lusrmgr.msc命令,查看是否有可疑或者新增的账号,若存在管理员Administrators群组内新增的账户,请立即禁用或者删除) 3.查看服务器注册表是否存在隐藏账号、克隆账号 (打开注册表–regedit.exe或者regedit,查看管理员对应键值) (使用D盾查杀
应急响应基础(一)——Windows入侵排查
橘子女侠
09-29 2070
常见的应急响应事件分类: web入侵:网页挂马、主页篡改、webshell; 系统入侵:病毒木马、勒索软件、远控后门; 网络攻击:DDOS攻击、DNS劫持、ARP欺骗; 一、Windows入侵排查思路 (1)检查系统账号安全 1、检查服务器是否有弱口令,远程管理端口是否对公网开放等; 检查方法:根据实际情况咨询相关服务器管理员; 2、查看服务器是否存在可疑账号、新增账号; 检查...
第1windows 入侵排查
大熊
06-09 584
应急响应
入侵排查与响应-window和linux版
weixin_49349476的博客
07-03 2638
入侵检测:看看你的电脑有没有被入侵过,应急响应:如果你的电脑被入侵了,应该怎么做 讲述linux和window系统一些入侵检测的方法,如果你担心或者好奇你的电脑有没有被入侵的化,可以试试用这些方法检查一下
Windows环境黑客入侵应急与排查
liguangyao213的博客
10-28 946
1 文件分析 1.1 临时目录排查 黑客往往可能将病毒放在临时目录(tmp/temp),或者将病毒相关文件释放到临时目录,因此需要检查临时目录是否存在异常文件。 假设系统盘在C盘,则通常情况下的临时目录如下: C:\Users\[用户名]\Local Settings\Temp C:\Documents and Settings\[用户名]\Local Settings\Temp C:...
Windows入侵排查
小石头的博客
12-18 811
常见的应急响应事件分类: web入侵:网页挂马、主页篡改、webshell 系统入侵:病毒木马、勒索软件、远控后门 网络攻击:ddos攻击、dns劫持、ARP欺骗 入侵排查思路 一、检查系统账号安全 1、查看服务器有无弱口令,远程管理端口是否对公网开放:据实际情况咨询相关管理员 2、查看服务器是否存在可以账号、新增账号 win+r 输入lusrmgr.msc命令,查看是否...
Windows主机入侵痕迹排查办法
Python_0011的博客
03-18 1096
技能都是需要动手的,然后思路需要清晰,操作要细致,跟客户要保持沟通,切记不能闷着擅自操作!为了帮助大家更好的学习网络安全,我给大家准备了一份网络安全入门/进阶学习资料,面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂这些资料!因幅有限,仅展示部分资料,需要点击下方链接即可前往获取CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享因幅有限,仅展示部分资料,需要点击下方链接即可前往获取CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享。
window入侵排查
u012207466的博客
06-12 2571
## 第1:window入侵排查 常见的应急响应事件分类: web入侵:网页挂马、主页篡改、Webshell、后台弱口令 系统入侵:病毒木马、勒索软件、远控后门、系统命令执行、反序列化漏洞 网络攻击:DDOS攻击、DNS劫持、ARP欺骗 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Window服务器入侵排查的思路。 ### 0x01 入侵排查思路 ####...
系统入侵排查(一) Windows入侵排查
Hey_1_Kong的博客
08-06 983
Windows入侵排查基本知识要点与操作
Windows与Linux入侵排查日志管理策略
本文档探讨了两个主要平台——Windows和Linux的入侵排查安全管理策略。首先,针对Windows系统,入侵排查的核心步骤包括: 1. **收集信息**:这是排查的第一步,需要收集与系统安全相关的数据,如日志文件、进程...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

三七怪鸽

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值