应急响应-Windows-进程排查

进程(process)是计算机中的程序关于某数据集合上的一次运动活动,是系统进行资源分配和调度的基本单位,是操作系统结果的基础。在早期面向进程结构中,进程是线程的容器。无论是在Windows系统还是Linux系统中,主机在感染恶意程序后,恶意程序都会启动相应的进程,来完成相关的恶意操作,有的恶意进程为了能够不被查杀,还会启动相应的守护进行对恶意进程进行守护。

对于windows系统中的进程排查,主要是找到恶意进程的PID、程序路径,有时还需要找到PPID(PID的父进程)及程序加载的DLL。对于进程的排查,一般有如下几种方法。

任务管理器查看
  • 比较直观的方法是通过【任务管理器】查看可疑程序。但是需要在打开【任务管理器】窗口后,添加【命令行】和【映射路径名称】等进程页列,如图所示,以方便获取更多的进程信息。
  • 在排查进程时,可重点关注进程的映像路径名称及命令行是否可疑,从而进一步进行排查,如图所示,程序iexplore.exe为可疑进程。
tasklist命令行排查
  • 在命令行中输入【tasklist】命令,可显示运行在计算机的所有进程,可查看进程的映像名称、PID、会话名等信息,如图所示
  • 使用【tasklist】命令并添加特定参数,还可以查看每个进程提供的服务,如添加svc参数,即输入【tasklist/svc】命令,可以显示每个进程和服务的对应情况,如图所示。
  • 对于某些恶意加载DELL的进程,可以通过输入【tasklist /m】命令进行查询,如图所示。
  • 要想查询特定DLL的调用情况,可以使用命令【tasklist /m 名称】。如图所示。输入【tasklist/m ntdll.dll】命令,可查询调用ntdll.dll模块的进程。
  • 同时,【tasklist】命令还有过滤器的功能,可以使用【fi】命令进行条件筛选,结合关系运算符【eq】(等于)、【ne】(不等于)、【gt】(大于)、【lt】(小于)、【ge】(大于等于)、【le】(小于等于)等命令进行有效过滤,如图所示。
  • 例如,查看PID为992的进程,可使用命令【tasklist /svc /fi "PID eq 992"】查看,如图所示、。
netstat 命令行
  • 在命令行中输入【netstat】命令,可显示网络链接的信息,包括活动的TCP链接、路由器和网络接口信息,是一个监控TCP/IP网络的工具。相关参数如下:
    • -a:显示所有连接和侦听端口。
    • -b:显示在创建每个连接或侦听端口时涉及的可执行程序。
    • -e:显示以太网统计信息。可以与-s结合使用。
    • -f:显示外部地址的完全限定域名(FQDN)。
    • -n:以数字形式显示地址和端口号。
    • -o:显示拥有的与每个连接关联的进程ID。
    • -p proto:显示proto指定的协议的连接。
    • -q:显示所有连接、侦听端口和绑定的非侦听TCP端口。绑定的非侦听端口不一定与活动连接相关联。
    • -r:显示路由表。
    • -s:显示每个协议的统计信息。默认情况下,显示IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP和UDPv6的统计信息。
    • -t:显示当前连接卸载状态。
    • -x:显示NetworkDirect连接、侦听器和共享终结点。
    • -y:显示所有连接的TCP连接模板。无法与其他选项结合使用。
    • interval:重新显示选的统计信息,每次显示之间暂停时间间隔(以秒计)。常见的网络状态如下。
      • LISTRNING:侦听状态
      • ESTABLISHEN:建立连接
      • CLOSE_WAIT:对方主动关闭连接或网络异常导致连接中断
  • 在排查过程中,一般会使用【netstat -ano | findstr "ESTABLISHED"】命令查看当前的网络连接,定位可以的ESTABLISHED。如图所示。在排查中发现PID为2856的进程有大量的网络连接。
  • 通过【netstat】命令定位出PID,在通过【tasklist】命令进行程序定位,发现PID为2856的进程有大量网络连接后,使用【tasklist | find "2856"】命令可查看具体的程序。
  • 也可通过【netstat -anb】命令(需要管理员权限)快速定位端口对应的程序,如图所示。
PowerShell排查
  • 有时对于有守护进程的进程,还要确认子夫进程之间的关系,可以使用PowerShell进行查看,一般PowerShekk在查询时会调用Wmi对象。【Get-WmiObject Win32_Process | select Name, ProcessId, ParentProcessId, path】 命令中 Get-WmiObject Win32_Process 表示获取进程的所有信息,select Name, ProcessId, ParentProcessId, Path 表示选择 Name, ProcessId, ParentProcessId, Path 4 个字段,整个命令表示显示 所有进程信息中的 Name, ProcessId, ParentProcessId, Path 4 个字段的内容。执行后的结果如图所示。

WMIC命令查询
  • 在命令行中使用【wmic process】命令,可以对进程情况进行查询。但使用【wmic process list full /format:cvs】命令,即以cvs格式列出进程的所有信息,此时命令列出的信息过多,不便于阅读。因此,可以使用【 wmic process get name,parentprocessid,processid /format:csv 】
  • 其他类似命令如下。
    • 【wmic process get ExecutablePath,processid /format:csv】命令表示以csv格式来显示进程路径、进程ID信息。
    • 【wmic process get name,ExecutablePath,processid,parentprocessid /format:csv findstr /I "appdata"】命令表示以CSV格式来显示进程的名称、进程路径、进程ID、父进程ID信息。
  • 同时【wmic】命令还可以结合条件对进程进行筛选。
    • 【wmic process where processid=[PID] get parentprocessid 】命令以表示以PID的值作为条件来获取其父进程的PID情况。如图所示,是获取PID的值为1820的进程的父进程PID的值,获取到父进程PID的值为10556。
  • 其他类似命令如下
    • 【wmic process where processid=[PID] get commandline 】命令表示以PID的值作为条件来获取其命令行。
  • 在使用【wmic process】 命令查出恶意进程后,会结束恶意进程,一般使用命令如下
    • 【wmic process where name="malware.exe" call terminate】 命令是值删除"malware.exe" 恶意程序的进程。
    • 【wmic process where processid=[PID] delete】命令是指删除PID为某值的进程。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/349355.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

探索二手旧物回收小程序:环保与经济的完美结合

随着社会的进步和人们生活水平的提高,消费观念也在不断变化。然而,在追求时尚和品质的同时,我们也面临着资源浪费和环境污染的问题。为了解决这些问题,二手旧物回收小程序应运而生。 一、二手旧物回收小程序的背景和意义 随着消…

小程序 样式 WXSS

文章目录 样式 WXSS尺⼨单位样式导⼊选择器⼩程序中使⽤less 样式 WXSS WXSS( WeiXin Style Sheets )是⼀套样式语⾔,⽤于描述 WXML 的组件样式。 与 CSS 相⽐,WXSS 扩展的特性有: 响应式⻓度单位 rpx样式导⼊ 尺⼨单位 rpx (…

滴滴基于 Ray 的 XGBoost 大规模分布式训练实践

背景介绍 作为机器学习模型的核心代表,XGBoost 在滴滴众多策略算法业务场景中发挥着至关重要的作用。因此,保障并持续提升 XGBoost 模型的离线训练及在线推理稳定性一直是机器学习平台的重点工作。同时,面对多样化的业务场景定制需求和数据规…

Matlab图像增强学习笔记——imadjust函数的使用

1.引言 图像增强是数字图像处理领域中的一个重要主题,它涉及改进图像的对比度、亮度和色彩等方面,以使图像更适合于特定应用或更易于分析。Matlab 提供了丰富的图像处理工具,其中 imadjust 函数是一种强大的图像增强工具。本篇文章将深入学习…

年老返乡难,凭君传语报平安

惧于媒体谎言多,浏览社交媒体发布的国内外五花八门的时事新闻报道,踯躅良久,笔者放弃选择话题置评,只得履行本“人民体验官”义务,推广人民日报官方微博文化产品《你好,回家!》,敷衍…

【Java网络编程03】网络原理进阶

【Java网络编程03】网络原理进阶 1. UDP协议 1.1 基本介绍 我们首先再来回顾UDP协议的基本特点: 无连接的不可靠传输的面向数据报的全双工的 既然谈到数据报,我们就来看一下UDP数据报的格式: UDP数据报分为报头和载荷部分,其…

臻于至善,CodeArts Snap 二维绘图来一套不?

前言 我在体验 华为云的 CodeArts Snap 时,第一个例子就是绘制三角函数图像,功能注释写的也很简单。 业务场景中,有一类就是需要产出各种二维图形的,比如,折线图、散点图、柱状图等。 为了提前积累业务素材&#xf…

AG32VF407 AGRV2K 串口printf调试输出

视频讲解 [AG32VF407]国产MCUFPGA 串口printf调试输出及演示 原理图 测试代码 新建一个platformio工程,复制如下文件到测试工程目录下 E:\tech\AGM-AG32VF\sdk-release\AgRV_pio\platforms\AgRV\boards\agrv2k_407\board.asf E:\tech\AGM-AG32VF\sdk-release\AgRV_…

WordPress反垃圾评论插件Akismet有什么用?如何使用Akismet插件?

每次我们成功搭建好WordPress网站后,都可以在后台 >> 插件 >> 已安装的插件,在插件列表中可以看到有一个“Akismet反垃圾邮件:垃圾邮件保护”的插件(个人觉得是翻译错误,应该是反垃圾评论)。具…

C/C++ 跨文件共享全局变量

目录 效果 项目 代码 下载 为了实现跨文件共享全局变量,我们可以使用 extern 关键字。extern 关键字用于声明一个变量,该变量在其他地方已经定义。它告诉编译器这个变量在其他文件中已经定义了,不需要重新分配内存空间,只需要…

大数据开发之Spark(完整版)

第 1 章:Spark概述 1.1 什么是spark 回顾:hadoop主要解决,海量数据的存储和海量数据的分析计算。 spark是一种基于内存的快速、通用、可扩展的大数据分析计算引擎。 1.2 hadoop与spark历史 hadoop的yarn框架比spark框架诞生的晚&#xff…

搭建Vite和Vue环境

​ 第一步:创建一个文件夹(此处为新建文件夹),并通过vscode打开 第二步:鼠标右键新建终端,并在终端处输入代码npm create vuelatest ​第三步:输入该项目名称(该项目名称并不是第一…

强制删除的文件还能恢复吗?答案分享!

“我在电脑上删除部分文件时总是显示无法删除,因此我把这部分文件强制删除了。这些文件还有机会恢复吗?怎样才能恢复这部分数据呢?希望大家帮我想想办法。” 部分用户在电脑上执行删除操作时,也可能会误删比较重要的数据。如果这部…

大模型学习与实践笔记(十三)

将训练好的模型权重上传到 OpenXLab 方式1: 先将Adapter 模型权重通过scp 传到本地,然后网页上传 步骤1. scp 到本地 命令为: scp -o StrictHostKeyCheckingno -r -P *** rootssh.intern-ai.org.cn:/root/data/ e/opencv/ 步骤2&#…

新加坡市场外贸开发攻略

新加坡,东南亚的一颗璀璨明珠,坐落于马来西亚半岛南端,与印度尼西亚的苏门答腊岛隔海相望。这个城市国家不仅拥有现代化的城市风貌,还融合了多元文化背景。 以下是对新加坡的国家介绍: 首都新加坡,是政治…

etcd技术解析:构建高可用分布式系统的利器

1. 引言 随着云原生技术的兴起,分布式系统的构建变得愈发重要。etcd作为一个高可用的分布式键值存储系统,在这个领域发挥着至关重要的作用。本文将深入探讨etcd的技术细节,以及如何利用它构建高可用的分布式系统。 2. etcd简介 etcd是一个开…

软件有必要更新吗?

软件更新是非常重要的,以下是几个理由: 1. 修复漏洞和安全问题:软件更新通常包含了对之前版本中发现的漏洞和安全问题的修复。这些漏洞和问题可能会被黑客利用,导致数据泄露、系统崩溃或其他安全风险。通过及时更新软件&#xff…

【Unity】【游戏开发】Pico打包后项目出现运行时错误如何Debug

【背景】 开发过程中的报错可以通过控制台查看,但是PICO项目这类依赖特定设备环境的应用往往存在打包后在设备端发生运行时错误。这时如何能查看到Debug信息呢? 【分析】 Pico也是安卓系统,所以这个问题就可以泛化为Unity有哪些在安卓端运…

智能AI写作大师,这几个软件你一定要看

写作是我们生活和工作中不可或缺的一部分。然而,写作是一件需要素材积累和大量时间精力的事情,对于许多人来说,写作真的是一件轻松的事情。幸运的是,由于科技的不断进步,智能AI写作软件应运而生,为我们提供…

【排序2】-交换排序

👻交换排序 🎄1、基本思想及特点🎄2、冒泡排序🎄3、快速排序(挖坑法)🎄4、快速排序优化🎊4.1 三数取中法选key🎊4.2 递归到小的子区间时,可以考虑使用插入排序…