在蓝队日常中,免不了被入侵,那么就需要对目前的主机或者服务器进行检查,在日常生活中,人们使用最多的还是windows,比如客服的电脑中了木马,这个时候就需要蓝队去进行溯源等后续操作。
1. msinfo32.exe 打开microfost 系统信息⼯具查询系统版本信息
2. 排查网络
netstat -ano
3. 查看进程
tasklist
|
findstr
"320"
4.临时文件分析,在文件浏览器地址栏中输入
%temp%
5. taskschd.msc 打开计划任务 查看属性 检测是否存在 可疑的任务
6.查看当前用户 query user
7.msconfig 查看开机启动项和服务有⽆敏感内容
8. %UserProfile%\Recent ,查看最近打开的文件,可以上传到查杀平台进行检查,
为保证准确性,可以丢到多个平台中进行检测:
在线检测分析平台
http://www.virscan.org
//多引擎在线病毒扫描⽹ v1.02,当前⽀持 41 款杀毒引擎
https://habo.qq.com
//腾讯哈勃分析系统
https://virusscan.jotti.org
//Jotti恶意软件扫描系统
http://www.scanvir.com
//针对计算机病毒、⼿机病毒、可疑⽂件等进⾏检测分析
恶意软件检测平台
VirSCAN:
https://www.virscan.org
VirusTotal:https://www.virustotal.com
Hybrid Analysis:https://www.hybrid-analysis.com
魔盾安全分析:https://www.maldun.com
微步在线云沙箱:https://s.threatbook.cn
奇安信威胁情报中心:https://ti.qianxin.com
9. 打开任务管理器或者命令行输入tasklist查看可以的进程,
未完待续----
注意:
本文是我在学习网络安全过程中总结的知识,如有谬误可直接联系我进行修改,谢谢。
![感染了后缀为.[sqlback@memeware.net].2700勒索病毒如何应对?数据能够恢复吗?](https://img-blog.csdnimg.cn/direct/075a56bf700b49f481b9816793d964cf.png)
