应急响应:Windows 入侵排查思路.

什么是应急响应.

一个组织为了 应对 各种网络安全意外事件的发生 所做的准备 以及在 事件发生后 所采取的措施 。说白了就是别人攻击你了,你怎么把这个攻击还原,看看别人是怎么攻击的,然后你如何去处理,这就是应急响应。


目录:

什么是应急响应.

应急响应工作流程:

常见的应急响应分类:

Windows 入侵排查思路:

(1)检查系统 账号安全.

(2)检查异常 端口.

(3)查看异常 进程.

(4)检查 启动项.

(5)检查 计划任务.

(6)检查 服务.

(7)检查系统相关信息.


应急响应工作流程:


常见的应急响应分类:


Windows 入侵排查思路:

(1)检查系统 账号安全.

查看服务器是否有 弱口令.

检查方法:实际情况咨询相关服务器管理员.(或者用扫描器扫描)口令需要:设置 大小写字母 + 数字 + 符号(不少于 8 位)

查看服务器是否存在 可疑账号、新增账号.

检查方法:打开 cmd 窗口,输入 lusrmgr.msc 命令.
或者
使用 "控制面板" 中的 "用户帐户" 工具.

检查是否有多余账户,也可以通过指令来查看.
命令:net user

如果查找 克隆账号 ,可以使用 D盾 进行查看.


(2)检查异常 端口.
netstat -an            // 查看端口

上面只要做排查可疑连接.然后我们也可以扫描我们的外网ip地址,看看哪个ip地址和哪个端口是开放的,这个信息要收集起来的.

netstat -an -p tcp         // 指定协议.


netstat -an -p tcp|findstr "ESTABLISHED"     // 查找监听连接的


netstat -ano -p tcp|findstr "ESTABLISHED"     // 查找监听连接的多加一个 O 就是进程


(3)查看异常 进程.

打开任务管理器,找到上面 异常端口 连接的进程 看看是什么.

在 服务(详情) 里面找到 PID 看看里面的数字.

就是这一个一个进程进行查找,排除异常进程(软件).


根据 netstat 定位出的 PID,再通过 tasklist 命令进行进程定位.

tasklist | findstr "PID"


(4)检查 启动项.

检查服务器是否有异常的启动项,因为有些木马都是开启自启动的,不然下次开机他就没用了.


(5)检查 计划任务.


(6)检查 服务.


(7)检查系统相关信息.
检查方法:单击【开始】>【运行】,输入cmd,然后输入systeminfo,查看系统信息、补丁信息等


  

   

  

学习链接:03-windows入侵排查思路_哔哩哔哩_bilibili

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/396673.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

上海电信万兆宽带2026年将实现全城覆盖

为了响应号召,上海力争到2026年,初步建成以5G-A和万兆光网为标志的全球双万兆城市。上海电信正式对外宣布将于8月30日正式上线“美好家万兆融合套餐”,同时发布速率行业领先的“5G-A套餐”,上线“随翼选”云翼智选礼包&#xff0c…

【Go】手写简易go webserver

核心:实现net/http库中handler接口的ServeHTTP方法的实例,通过http.ListenAndServe注册后,所有的请求都会打到该实例的ServeHTTP方法里。Context是对请求对象和响应对象的封装,实现了获取请问请求参数、设置状态码、设置响应头、设…

WINDOWS核心编程-----3章,内核对象,是现在不同账号下测试

系列文章目录 终端服务命名空间中内核对象的测试程序 TerminalService程序需要用登录不同的windows账号同时运行。才能看出效果 建议测试流程 1,先登录windows账号A,运行两个本程序实例 2,保持上述两个实例人在运行中,在登陆wind…

Vue3 搭建前端工程,并使用idea配置项目启动

1 下载node.js 先下载 node.js LTS 并安装:node.js 的 npm,用于管理前端项目包依赖,这里以 14.17.3 这个版本为例。如果已经安装过 node.js,可以在设置中找到应用,点进去搜索 node.js 即可卸载 node.js 14.17.3 安装…

C语言典型例题32

《C程序设计教程(第四版)——谭浩强》 习题2.9 编程序用getchar函数读入两个字符给c1,c2,然后分别用putchar函数和printf函数输出这两个字符。 (1)变量c1,c2应该定义为字符型或者整型吗&#x…

Flutter 学习之旅

本文只针对个人学习所遇问题,以及解决方案进行记录,不深刨原理。 不深刨原理是因为我也才开始学习,讲不明白,有可能还误导大家 ,希望多多包涵。 问题一: 如何通过appBar去设置状态栏字体颜色以及状态栏透…

LLM - 使用 HuggingFace + Ollama 部署最新大模型 (GGUF 格式 与 Llama 3.1)

欢迎关注我的CSDN:https://spike.blog.csdn.net/ 本文地址:https://spike.blog.csdn.net/article/details/141028040 免责声明:本文来源于个人知识与公开资料,仅用于学术交流,欢迎讨论,不支持转载。 Ollama…

【Linux】Ubuntu20.04系统中能在命令行ping通百度等网站,而在浏览器中不能上网的问题解决方法

今天离开学校,在家中打开ubuntu系统准备上网,发现浏览器打不开,但是QQ是可以发消息的,证明WIFI应该是没有问题的,但是谷歌和火狐浏览器就是打不开网址,很奇怪! 先检查我们Linux能不能ping通 开一…

基于Jakarta,TypeScript,Golong的国密SM2、3、4

文章目录 前言一. Jakarta代码二. TypeScript三.golang 前言 最近还要深度研究hutools底层实现,一定要搞透澈,本章将会是持续更新 所有密钥由Jakarta统一生成,因为没测试其他语言生成是否可以 参考资料: Java代码实现SM2算法以及…

整理 钢琴 基础知识

大普表和钢琴键盘对照表 一 大普表和钢琴键盘对照表 二 五线谱、键位、左右手 八分音符 坐姿 手型

机器学习——支持向量机(SVM)(1)

目录 一、认识SVM 1. 基本介绍 2. 支持向量机分类器目标 二、线性SVM分类原理(求解损失) 三、重要参数 1. kernel(核函数) 2 .C(硬间隔与软间隔) 四、sklearn中的支持向量机(自查&#…

使用Adobe Photoshop CS5给图片加水印

使用Adobe Photoshop CS5给图片加水印 前言1.我这里使用的是Adobe Photoshop CS52.新建空白画布3.写入水印内容4.按 Ctrl T 将其倾斜5.右键图层选择“混合选项”6.选择描边,颜色选择灰色7.效果如下8.填充选择0,不透明度选择75%9.打开编辑,选…

transformer中编码器之间是串行还是并行的;算力共享中,transformer实现编码器并行运行,怎么进行聚合的

目录 transformer中编码器之间是串行还是并行的 1. 编码器结构的独立性 2. 编码器内部的并行处理 3. 编码器之间的数据流 4. 训练阶段的并行性 算力共享中,transformer实现编码器并行运行,怎么进行聚合的 编码器并行运行的实现 编码器的输出聚合 举例说明 transform…

对 Go 语言中循环屏障 CyclicBarrier 的理解

同步屏障 (Barrier) 是并发编程中的一种同步方法。对于一组 goroutine ,程序中的一个同步屏障意味着任何 goroutine 执行到此后都必须等待,直到所有的 goroutine 都达到此点才可继续执行下文。 Barrier 无论是翻译成屏障、障碍还是栅栏,都很形象,就是一道拦截坝,拦截一组对…

国内大量家用路由器惨遭DNS劫持,你中招了吗?

近期,D妹收到不少用户反馈,在访问网站或APP时都遭遇了访问失败的问题。经深入排查,我们监测到大量家用路由器的DNS解析配置被篡改,从而影响到了正常的网站和APP访问。 该情况于2024年5月开始出现,于8月5日集中爆发达到…

图像变换算法

1.1 傅里叶变换 (Fourier Transform) 介绍 傅里叶变换是一种数学变换,用于将图像从空间域转换到频率域。它广泛应用于图像去噪和滤波。 原理 傅里叶变换将图像表示为频率成分的叠加,使得频率成分可以独立处理。通过对频率成分的分析和处理&#xff0…

【登录扫码】--集成企业微信

背景: 在系统的登录流程中,我们引入了一种创新的扫码登录方式,旨在提升用户体验与安全性。此流程的核心在于通过生成并扫描二维码来实现快速、便捷的登录认证 调用流程详细说明: 扫码登录选择:用户首先访问系统登录页面…

STM32的SDIO接口详解

目录 1. 定义与兼容性 2. SDIO时钟 3. SDIO命令与响应 4. SDIO块数据传输 5. SDIO控制器的硬件结构 6.代码实现 1.SD初始化 2.测试SD卡的读取 3.测试SD卡的写入 STM32的SDIO(Secure Digital Input/Output,安全数字输入输出)接口是一…

010集——按值传递、按引用传递等方法——C#学习笔记

按值传递参数 这是参数传递的默认方式。在这种方式下,当调用一个方法时,会为每个值参数创建一个新的存储位置。 实际参数的值会复制给形参,实参和形参使用的是两个不同内存中的值。所以,当形参的值发生改变时,不会影…

Flask+LayUI开发手记(一):LayUI表格的前端数据分页展现

用数据表格table展示系统数据,是LayUI的基本功能,编码十分简单,就是通过table.render()渲染,把属性配置好就OK了,十分方便,功能也十分强大。 不过,在实现时,把table的有个功能却理解…