windows应急响应基础知识

一、系统排查

1、系统详细信息

systeminfo

在这里插入图片描述

2、网络链接

netstat -ano 

在这里插入图片描述

LISTENING  服务启动后首先处于侦听
ESTABLISHED  建立连接。表示两台机器正在通信。
CLOSE_WAIT  对方主动关闭连接或者网络异常导致连接中断,这时我方的状态会变成CLOSE_WAIT 此时我方要调用close()来使得连接正确关闭
TIME_WAIT 我方主动调用close()断开连接,收到对方确认后状态变为TIME_WAIT。

根据PID定位进程

重点关注 ESTABLISHED pid
查看进程 tasklist

tasklist | findstr "1612"

在这里插入图片描述

快速定位端口对应的进程

netstat -anb

在这里插入图片描述

根据进程定位应用程序

任务管理器-进程-选中进程名-右击打开文件位置

在这里插入图片描述
在这里插入图片描述

3、利用系统启动项执行后门

系统中的启动目录

C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
等于
运行-shell:startup

在这里插入图片描述
在这里插入图片描述

系统配置msconfig

运行-msconfig

在这里插入图片描述
在这里插入图片描述

注册表启动

HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

4、计划任务

运行-taskschd.msc   
打开计划任务-查看属性(检测是否存在、可疑的任务)

在这里插入图片描述

也可以在终端里schtasks命令查看  

在这里插入图片描述

5、组策略

运行-gpedit.msc

在这里插入图片描述

6、注册表

运行-regedit

在这里插入图片描述

7、服务

运行-msconfig
或者
计算机-管理-服务和应用程序-服务

在这里插入图片描述
在这里插入图片描述

二、排查检测账号

1、查看当前系统在线用户

query user

在这里插入图片描述

2、查看系统隐藏用户

账号后面加上$在命令终端是查看不到
net user

在这里插入图片描述

需要在计算机管理 本地用户和组查看
也可以运行-lusrmgr.msc 

在这里插入图片描述

3、账号克隆

访问注册表  HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users 权限不够可以设置可读权限

在这里插入图片描述

wmic方法查询用户信息
wmic useraccount get name,Sid

在这里插入图片描述

可以用D盾去检测用户是否被克隆

在这里插入图片描述

三、文件痕迹排查

1、查看用户最近的打开的文件

 运行-%UserProfile%\Recent 
 查看用户最近的打开的文件 对可疑的文件进行分析 文件可疑上传到 病毒库平台分析。

在这里插入图片描述
在线检测分析平台
http://www.virscan.org //多引擎在线病毒扫描网 v1.02,当前支持 41 款杀毒引擎
https://habo.qq.com //腾讯哈勃分析系统
https://virusscan.jotti.org //Jotti恶意软件扫描系统
http://www.scanvir.com //针对计算机病毒、手机病毒、可疑文件等进行检测分析

2、查看临时目录

运行-%tmp%

在这里插入图片描述

四、进程排查

1、打开任务管理器查看进程

在这里插入图片描述

2、tasklist命令

在这里插入图片描述

tasklist /svc 查看每个进程和服务对应的情况

在这里插入图片描述

根据PID定位进程
tasklist | findstr "1612"

在这里插入图片描述

五、windows 系统安全日志分析

主要记录系统的安全信息,包括成功的登录、退出,不成功的登录,系统文件的创建、删除、更改,需要指明的是安全日志只有系统管理员才可以访问,这也体现了在大型系统中安全的重要性。

在这里插入图片描述
在这里插入图片描述
事件ID汇总 https://blog.csdn.net/qq_45825991/article/details/115577680

事件查看器

控制面板 ->管理工具 ->事件查看器
或者
运行-eventvwr或eventvwr.msc
在事件点击安全  点击  筛选当前日志 输入id进行 筛选

在这里插入图片描述
搜索4720 看到创建被创建隐藏账号
在这里插入图片描述
筛选 4625 找到大量的失败的登录日志 有可能被暴力破解。
在这里插入图片描述

六、web日志分析

从Web应用日志中,可以分析攻击者在什么时间、使用哪个IP,访问了哪个网站。  
根据使用不同的中间件,log日志位置也不同,百度搜即可。

1、nginx

在这里插入图片描述
在这里插入图片描述

2、apache

在这里插入图片描述
在这里插入图片描述

3、tomcat

在这里插入图片描述

在这里插入图片描述

七、webshell查杀&木马病毒查杀

1、webshell

河马:https://www.shellpub.com/
D盾(iis):https://www.d99net.net/ 

2、木马病毒

火绒:https://www.huorong.cn/
360杀毒:https://sd.360.cn/
电脑管家:https://guanjia.qq.com/

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/547468.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

如何查找overlayfs对应的POD如何根据pod找到containerd id

如何查找overlayfs对应的POD mount |grep overlayfs | grep 1738 ctr -n k8s.io c list | grep 11ac4083419be11174746b68d018a0a402d9ae43c6b52125810fe1ec7db63bc6 查找目录并统计大小 find / -name "jfsCache" -exec du -sh {} | sort -rh如何根据pod找到c…

HarmonyOS4-网络连接-http请求数据

使用Axios发送请求: 详细资料来源于官方文档。

java数据结构与算法刷题-----LeetCode338. 比特位计数

java数据结构与算法刷题目录(剑指Offer、LeetCode、ACM)-----主目录-----持续更新(进不去说明我没写完):https://blog.csdn.net/grd_java/article/details/123063846 文章目录 位运算统计1的个数动态规划 位运算统计1的个数 🏆Le…

2023年图灵奖揭晓,你怎么看?

Avi Wigderson——理论计算机科学的先锋,荣获2023年图灵奖 在科技界,图灵奖堪称与诺贝尔奖齐名的崇高荣誉,它每年授予对计算机行业的贡献达到重大突破的个人或团队。今年,这一声誉卓著的奖项被授予了普林斯顿大学的数学教授 Avi …

上位机图像处理和嵌入式模块部署(树莓派4b安装opencv)

【 声明:版权所有,欢迎转载,请勿用于商业用途。 联系信箱:feixiaoxing 163.com】 树莓派4b上面安装的镜像应该是debian系统,本身是可以用apt-get进行软件下载的。这一点对于我们来说就非常的方便。因为,如果…

毕设选51还是stm32?51太简单?

如果你更倾向于挑战和深入学习,STM32可能是更好的选择。如果你希望更专注于底层硬件原理,51可能更适合。我这里有一套嵌入式入门教程,不仅包含了详细的视频讲解,项目实战。如果你渴望学习嵌入式,不妨点个关注&#xff…

Spring Boot | SpringBoot对 “SpringMVC“的 “整合支持“、SpringMVC“功能拓展实现“

目录: SpringMVC 的 “整合支持” ( 引入"Web依赖启动器",几乎可以在无任何额外的配置的情况下进行"Web开发")1.SpringMVC "自动配置" 介绍 ( 引入Web依赖启动器"后,SpringBoot会自动进行一些“自动配置”&#xff0…

计算机网络 Cisco路由器基本配置

一、实验内容 1、按照下表配置好PC机IP地址和路由器端口IP地址 2、配置好路由器特权密文密码“abcd+两位班内序号”和远程登录密码“star” 3、验证测试 a.验证各个接口的IP地址是否正确配置和开启 b.PC1 和 PC2 互ping c.验证PC1通过远程登陆到路由器上&#…

Linux笔记之查看docker容器目录映射

Linux笔记之查看docker容器目录映射 —— 2024-04-15 code review! docker inspect 容器ID或容器名 | grep -A 20 Mounts实践 grep -A 参数详解: grep 的 -A 参数用于在输出中包括匹配行后的指定数目的行。 使用 -A 参数 该参数的基本语法如下: …

[大模型]InternLM2-7B-chat FastAPI 部署

InternLM2-7B-chat FastAPI 部署 InternLM2 ,即书生浦语大模型第二代,开源了面向实用场景的70亿参数基础模型与对话模型 (InternLM2-Chat-7B)。模型具有以下特点: 有效支持20万字超长上下文:模型在20万字…

Mini-Gemini: 探索多模态视觉语言模型的新境界

一、背景 在数字化时代,人工智能的发展正以前所未有的速度推进。特别是在多模态学习领域,结合视觉和语言的能力已成为研究的热点。最近,一篇名为“Mini-Gemini: Mining the Potential of Multi-modality Vision Language Models”的文章在arX…

基于SSM项目个人健康信息管理系统

采用技术 基于SSM项目个人健康信息管理系统的设计与实现~ 开发语言:Java 数据库:MySQL 技术:SpringMVCMyBatis 工具:IDEA/Ecilpse、Navicat、Maven 页面展示效果 用户端 用户首页 健康知识 用户注册 医院推荐信息 系统概要…

linux 云计算平台基本环境(知识准备篇)

为了更多的了解云计算平台,结合云计算和linux的知识写了一篇云计算的介绍和汇总。 文章目录 前言1. centos的软件管理1.1 yum软件包管理1.1.1 yum命令语法:1.1.2 安装软件包的步骤1.1.3 yum源 2. 主机名管理与域名解析3. centos的防火墙管理4. openstack…

以pytorch pipeline并行为例,分析各kernel的耗时占比及性能瓶颈

以pytorch pipeline并行为例,分析各kernel的耗时占比及性能瓶颈 1.生成pipeline并行的测试代码2.pipeline profing3.生成nsys2json.py代码4.将nsys sqlite格式转chrome json格式5.生成耗时成分统计代码6.统计耗时成分7.耗时成分如下:8.查看GPU PCIE链路状态9.链路状态如下10.Ns…

jetson系列开发板使用虚拟机烧录系统时,遇见无法识别开发板的情况

在双系统中的ubuntu系统烧录没问题,但是电脑Ubuntu系统由于版本低,所以没有网络,烧录起来还的连网线,所以问了开发板的工程师,所幸,解决了问题,很感谢工程师的指导,特此记录一下&…

LabVIEW开发继电保护测试仪自动检测

LabVIEW继电保护测试仪自动检测系统 继电保护测试仪在电力系统中发挥着不可替代的作用,确保了电力系统的安全稳定运行。然而,随着电力系统的复杂性日益增加,对继电保护测试仪的检测与校准提出了更高的要求。传统的手动检测方式耗时长、效率低…

TypeScript-官方基础模板创建的小程序,如何创建js文件

如何创建JS文件,不需要寻找“js”文件类型,只需要创建一个新的“文件”即可。 第一步:先删除 ts文件;如 index.ts 第二步:右键点击项目,选择“新建”,然后选择“文件”。 第三步:在弹出的界面中,在“文件名”中输入“…

CentOS 7安装、卸载MySQL数据库

说明:本文介绍如何在CentOS 7操作系统下使用yum方式安装MySQL数据库,及卸载; 安装 Step1:卸载mariadb 敲下面的命令,查看系统mariadb软件包 rpm -qa|grep mariadb跳出mariadb软件包信息后,敲下面的命令…

学习Rust的第7天:参考资料

Hey Everyone, 大家好, Today is references and borrowing. Immutable references allow reading data without ownership transfer, while mutable references enable modification, subject to rules ensuring exclusive access and preventing data races.今天的…

k8s控制器(五)_____DaemonSet

DaemonSet控制器 DaemonSet控制器是Kubernetes中的一种控制器,用于确保集群中的每个节点都运行一个Pod的副本。它通常用于在整个集群中部署一些系统级别的服务: 在每一个node节点运行一个存储服务,例如gluster,ceph。在每一个no…