windows应急响应基础知识

一、系统排查

1、系统详细信息

systeminfo

在这里插入图片描述

2、网络链接

netstat -ano 

在这里插入图片描述

LISTENING  服务启动后首先处于侦听
ESTABLISHED  建立连接。表示两台机器正在通信。
CLOSE_WAIT  对方主动关闭连接或者网络异常导致连接中断,这时我方的状态会变成CLOSE_WAIT 此时我方要调用close()来使得连接正确关闭
TIME_WAIT 我方主动调用close()断开连接,收到对方确认后状态变为TIME_WAIT。

根据PID定位进程

重点关注 ESTABLISHED pid
查看进程 tasklist

tasklist | findstr "1612"

在这里插入图片描述

快速定位端口对应的进程

netstat -anb

在这里插入图片描述

根据进程定位应用程序

任务管理器-进程-选中进程名-右击打开文件位置

在这里插入图片描述
在这里插入图片描述

3、利用系统启动项执行后门

系统中的启动目录

C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
等于
运行-shell:startup

在这里插入图片描述
在这里插入图片描述

系统配置msconfig

运行-msconfig

在这里插入图片描述
在这里插入图片描述

注册表启动

HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

4、计划任务

运行-taskschd.msc   
打开计划任务-查看属性(检测是否存在、可疑的任务)

在这里插入图片描述

也可以在终端里schtasks命令查看  

在这里插入图片描述

5、组策略

运行-gpedit.msc

在这里插入图片描述

6、注册表

运行-regedit

在这里插入图片描述

7、服务

运行-msconfig
或者
计算机-管理-服务和应用程序-服务

在这里插入图片描述
在这里插入图片描述

二、排查检测账号

1、查看当前系统在线用户

query user

在这里插入图片描述

2、查看系统隐藏用户

账号后面加上$在命令终端是查看不到
net user

在这里插入图片描述

需要在计算机管理 本地用户和组查看
也可以运行-lusrmgr.msc 

在这里插入图片描述

3、账号克隆

访问注册表  HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users 权限不够可以设置可读权限

在这里插入图片描述

wmic方法查询用户信息
wmic useraccount get name,Sid

在这里插入图片描述

可以用D盾去检测用户是否被克隆

在这里插入图片描述

三、文件痕迹排查

1、查看用户最近的打开的文件

 运行-%UserProfile%\Recent 查看用户最近的打开的文件 对可疑的文件进行分析 文件可疑上传到 病毒库平台分析。

在这里插入图片描述
在线检测分析平台
http://www.virscan.org //多引擎在线病毒扫描网 v1.02,当前支持 41 款杀毒引擎
https://habo.qq.com //腾讯哈勃分析系统
https://virusscan.jotti.org //Jotti恶意软件扫描系统
http://www.scanvir.com //针对计算机病毒、手机病毒、可疑文件等进行检测分析

2、查看临时目录

运行-%tmp%

在这里插入图片描述

四、进程排查

1、打开任务管理器查看进程

在这里插入图片描述

2、tasklist命令

在这里插入图片描述

tasklist /svc 查看每个进程和服务对应的情况

在这里插入图片描述

根据PID定位进程
tasklist | findstr "1612"

在这里插入图片描述

五、windows 系统安全日志分析

主要记录系统的安全信息,包括成功的登录、退出,不成功的登录,系统文件的创建、删除、更改,需要指明的是安全日志只有系统管理员才可以访问,这也体现了在大型系统中安全的重要性。

在这里插入图片描述
在这里插入图片描述
事件ID汇总 https://blog.csdn.net/qq_45825991/article/details/115577680

事件查看器

控制面板 ->管理工具 ->事件查看器
或者
运行-eventvwr或eventvwr.msc
在事件点击安全  点击  筛选当前日志 输入id进行 筛选

在这里插入图片描述
搜索4720 看到创建被创建隐藏账号
在这里插入图片描述
筛选 4625 找到大量的失败的登录日志 有可能被暴力破解。
在这里插入图片描述

六、web日志分析

从Web应用日志中,可以分析攻击者在什么时间、使用哪个IP,访问了哪个网站。  
根据使用不同的中间件,log日志位置也不同,百度搜即可。

1、nginx

在这里插入图片描述
在这里插入图片描述

2、apache

在这里插入图片描述
在这里插入图片描述

3、tomcat

在这里插入图片描述

在这里插入图片描述

七、webshell查杀&木马病毒查杀

1、webshell

河马:https://www.shellpub.com/
D盾(iis):https://www.d99net.net/ 

2、木马病毒

火绒:https://www.huorong.cn/
360杀毒:https://sd.360.cn/
电脑管家:https://guanjia.qq.com/

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/819353.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【计算机考研】408网课汇总+资源分享

408王道的视频就比较通俗易懂 王道的教材非常契合408的大纲,是专门为408大纲而编写的,而教材是方方面面都讲解的透彻。 建议王道为主,网络搜索为辅! 王道中讲解不清楚,看不懂的知识点,可以尝试在网络上进…

LeetCode 热题 100 Day03

普通数组 常见的题型有: 取模、区间合并、最大子序列和、最长非0子序列等。 一些解题思路很巧妙,多练多总结。 Leetcode 53. 最大子数组和 [dp动态查找最大值] 题目理解: 给定一个整数数组, 求一个连续的子序列 该子序列满足和最大 要求返回最…

使用 Rust 和 DDD 构建 API 服务器

Introduction 介绍 I tried implementing an API server using Rust and the Axum framework. 我尝试使用 Rust 和 Axum 框架实现 API 服务器。 Target Audience 本文受众 Those who want to implement an API server with Rust. 那些想要用 Rust 实现 API 服务器的人。Those w…

Springboot+Vue项目-基于Java+MySQL的校园周边美食探索及分享平台系统(附源码+演示视频+LW)

大家好!我是程序猿老A,感谢您阅读本文,欢迎一键三连哦。 💞当前专栏:Java毕业设计 精彩专栏推荐👇🏻👇🏻👇🏻 🎀 Python毕业设计 &…

SU-03T语音识别

语音识别的由SU-03T、咪头、喇叭、还有一个CH340串口组成。SU-03T不需要代码的写入,直接可以进行配置就可以使用,极大降低了开发难度。 为客户提供超低成本的离线语 音识别方案,可广泛且快速应用于智能家居,各类智能小家电&#x…

【Git】Git的安装与常用命令

Git的安装与常用命令 一、Git的安装 (一)下载 官网下载:https://git-scm.com/downloads 镜像网站:https://registry.npmmirror.com/binary.html?pathgit-for-windows/ (二)安装 双击安装&#xff0c…

Elasticsearch分布式搜索

实用篇-ES-环境搭建 ES是elasticsearch的简称。我在SpringBoot学习 数据层解决方案 的时候,写过一次ES笔记,可以结合一起看一下。 之前在SpringBoot里面写的相关ES笔记是基于Windows的,现在我们是基于docker容器来使用,需要你们提…

安装jmeter和ant

安装jmeter和ant 安装java环境 安装jdk和jre 下载Java SE Development Kit 8 Java SE subscribers will receive JDK 8 updates until at least December 2030. 选择指定包进行安装,如windows 共享账号参考:Oracle官网 账号及密码 目前官网下载低…

K12智慧校园-学工中心

1 系统概述 学工管理系统用于帮助学校学工部门负责拟定学院年度学生工作计划,提出年度学生工作思路及工作要点,并负责指导各系开展学生工作;负责学院的学风建设与校园文明督查;负责新生军训工作的组织、协调和安排;负…

顺序表 (头删 尾删 清空)

//头删 | 1 #include "head.h" | 1 #ifndef ww87 void head_del(p lp) | 2 int main(int argc, const char *argv[]) …

js纯前端实现语音播报,朗读功能(2024-04-15)

实现语音播报要有两个原生API 分别是【window.speechSynthesis】【SpeechSynthesisUtterance】 项目代码 // 执行函数 initVoice({text: 项目介绍,vol: 1,rate: 1 })// 函数 export function initVoice(config) {window.speechSynthesis.cancel();//播报前建议调用取消的函数…

[阅读笔记2][FLAN]FINETUNED LANGUAGE MODELS ARE ZERO-SHOT LEARNERS

接下来这篇是谷歌的FLAN,提出了指令微调这一新范式,在2022年发表。 这篇论文指出GPT3的zero-shot性能相比few-shot性能差太多了。他们发现如果对预训练模型进行指令微调能使zero-shot性能显著提升,下面右图显示指令微调后zero-shot比GPT3 few…

Ubuntu 22.04安装中文输入法

1. 安装 sudo apt install fcitx5 2. 管理已安装的语言 Setting->Region & Language->Manage Installed Language 在下图中点击“安装”,之后需要等一会 选择Fcitx 5 3. 添加输入法 Setting->Keyboard 点击chinese 选择你想要的输入法 重启一下&a…

【STL】迭代器iterator详解

前言 本篇文章以对string的操作来演示迭代器的操作。 一、什么是迭代器iterator? 迭代器(iterator)是一种可以遍历容器元素的数据类型。迭代器是一个变量,相当于容器和操纵容器的算法之间的中介。C迭代器是一种用于遍历容器中元的…

火车头采集一键发布到Zblog

火车头采集发布到Zblog系统,主要操作步骤如下: 目录 1、Zblog火车头Web发布模块 2、内容发布参数映射,火车头发布到Zblog 3、简数一键发布到Zblog方法 1、Zblog火车头Web发布模块 自行编写Zblog火车头Web发布模块,一般要使用f…

突破编程_前端_SVG(ellipse 椭圆形)

1 ellipse 元素的基本属性和用法 ellipse 元素用于创建椭圆形状。它具有一系列的基本属性,允许自定义椭圆的外观和位置。以下是一些 ellipse 元素的基本属性和用法: (1)基本属性 cx 和 cy:这两个属性定义了椭圆中心…

[Java EE] 计算机工作原理与操作系统简明概要

1. 计算机工作原理 1.1 生活中常见的计算机 计算机分为通用计算机和专用计算机,计算机并不单单指的是电脑,还有我们平时使用的手机,ipad,智能手表等终端设备都是计算机.还有我们用户不常见的计算机,比如服务器. 还有许多嵌入式设备(针对特定场景定制的"专用计算机"…

Suno,属于音乐的ChatGPT时刻来临

AI绘画 AI视频我们见过了,现如今AI都能生成一首音乐,包括编曲,演唱,而且仅需几秒的时间便可创作出两分钟的完整歌曲 相信关注苏音的很大一部分都是从获取编曲或者混音插件来的,现如今AI却能帮你几秒生成曲子 今天就带…

海外云手机怎么解决tiktok运营难题?

最近打算做TikTok的商家越来越多了,而做TikTok的第一步就面临如何养号、涨粉的困境,本文将介绍如何通过海外云手机轻松解决这些问题。 早期大家用的比较多的,是真机科学上网的方法。但是这种方法,需要自己搭建海外环境&#xff0c…

网络篇09 | 运输层 udp

网络篇09 | 运输层 udp 01 简介UDP 是面向报文的 02 报文协议 01 简介 UDP 只在 IP 的数据报服务之上增加了一些功能:复用和分用、差错检测 UDP 的主要特点:无连接。发送数据之前不需要建立连接。 使用尽最大努力交付。即不保证可靠交付。 面向报文。…