国产 无码 综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

  1. Toy模板網(wǎng)首頁
  2. >Toy博客

【W(wǎng)indows應急響應】HW藍隊必備——開機啟動項、臨時文件、進程排查、計劃任務排查、注冊表排查、惡意進程查殺、隱藏賬戶、webshell查殺等

2年前作者:webfker from 0 to 1分類:Toy博客閱讀(25)違法舉報

這篇具有很好參考價值的文章主要介紹了【W(wǎng)indows應急響應】HW藍隊必備——開機啟動項、臨時文件、進程排查、計劃任務排查、注冊表排查、惡意進程查殺、隱藏賬戶、webshell查殺等。希望對大家有所幫助。如果存在錯誤或未考慮完全的地方,請大家不吝賜教,您也可以點擊"舉報違法"按鈕提交疑問。

應急響應的重要性

近年來信息安全事件頻發(fā),信息安全的技能、人才需求大增?,F(xiàn)在,不管是普通的企業(yè),還是專業(yè)的安全廠商,都不可避免的需要掌握和運用好信息安全的知識、技能,以便在需要的時候,能夠御敵千里。所謂養(yǎng)兵千日,用兵一時,擁有一支完善的團隊或完整的流程,可以保障企業(yè)在出現(xiàn)重大安全事件時,能有條不紊的進行處置,及時把破壞范圍縮小。
且在即將開始的護網(wǎng)中,應急響應也是其中非常重要的一環(huán),學好應急響應能讓你在面試中如虎添翼。

開機啟動項

  • 1、利用操作系統(tǒng)中的啟動菜單C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
  • 2、利用系統(tǒng)配置msconfig
  • 3、利用注冊表regedit HKEY CURRENT USERS/software/Microsoft/Windows/CurrentVersion/Run
    windows應急響應,應急響應,windows,microsoft
    windows應急響應,應急響應,windows,microsoft
    windows應急響應,應急響應,windows,microsoft

temp文件分析

temp(臨時文件夾),位于C:\Documents and Settings\AdministratorLocal Settings\內(nèi)。很多臨時文件放在這里,用來收藏夾,瀏覽網(wǎng)頁的臨時文件,編輯文件等。

  • 查看temp文件夾發(fā)現(xiàn)PE文件 (exe、di1sys),或者是否具有特別大的tmp文件
  • 將文件上傳到 https://wwwvirustotal.com/ 進行查看,是否為惡意代碼
    文章分享

windows應急響應,應急響應,windows,microsoft

瀏覽器信息分析

  • 瀏覽器瀏覽痕跡查看
  • 瀏覽器Cookie信息查看
  • 瀏覽器文件下載記錄查看

文件時間屬性分析

如果修改時間要早于創(chuàng)建時間那么這個文件存在很大可疑。使用中國菜刀等工具修改的 修改時間,通過文件屬性可以查看到創(chuàng)建時間、修改時間、訪問時間。

最近打開文件分析

Windows系統(tǒng)中默認記錄系統(tǒng)中最近打開使用的文件信息??梢栽谀夸汣:\Documents and Settings\Administrator Recent 下查看,也可以使用 win+R打開運行%userprofile%\recent查看。
windows應急響應,應急響應,windows,microsoft

進程分析

  • netstat-ano | find“ESTABLISHED”查看網(wǎng)絡(luò)建立連接狀態(tài)
  • tasklist /svc | find “PID” 查看具體PID進程對應的程序
  • taskkill /PID pid值 /T 關(guān)閉進程
    windows應急響應,應急響應,windows,microsoft
    windows應急響應,應急響應,windows,microsoft

計劃任務

  • schtasks.exe
  • 任務計劃程序
    windows應急響應,應急響應,windows,microsoft
    windows應急響應,應急響應,windows,microsoft

隱藏賬戶的發(fā)現(xiàn)添加與刪除

  • 最為簡單的隱藏賬戶建立: net user test$ test /add && net localgroup administrator test$ /add
  • 計算機管理->本地用戶和組->用戶
  • 注冊表 HKEY_LOCAL_MACHINE/HARDWARE/SAM/SAM/DOMAINS/ACCOUNT/USERS/NAMES
  • windows應急響應,應急響應,windows,microsoft
    windows應急響應,應急響應,windows,microsoft
    這樣添加的用戶無法在該命令中被發(fā)現(xiàn),可以在計算機管理和注冊表中看到
    windows應急響應,應急響應,windows,microsoft
    若在這其中也被隱藏,只能看注冊表了。
    windows應急響應,應急響應,windows,microsoft

惡意進程發(fā)現(xiàn)及關(guān)閉

使用工具psexplore 找到惡意程序之后在進程列表中刪除。
windows應急響應,應急響應,windows,microsoft
psexplore可以聯(lián)動VirusTotal進行惡意代碼分析并進行查殺。
下載鏈接

補丁信息

  • control->程序->已安裝更新
  • systeminfo
  • win+i更新
    windows應急響應,應急響應,windows,microsoft
    windows應急響應,應急響應,windows,microsoft

webshell查殺

D盾、河馬webshell文章來源地址http://www.zghlxwxcb.cn/news/detail-787111.html

到了這里,關(guān)于【W(wǎng)indows應急響應】HW藍隊必備——開機啟動項、臨時文件、進程排查、計劃任務排查、注冊表排查、惡意進程查殺、隱藏賬戶、webshell查殺等的文章就介紹完了。如果您還想了解更多內(nèi)容,請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章,希望大家以后多多支持TOY模板網(wǎng)!

本文來自互聯(lián)網(wǎng)用戶投稿,該文觀點僅代表作者本人,不代表本站立場。本站僅提供信息存儲空間服務,不擁有所有權(quán),不承擔相關(guān)法律責任。如若轉(zhuǎn)載,請注明出處: 如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實不符,請點擊違法舉報進行投訴反饋,一經(jīng)查實,立即刪除!

領(lǐng)支付寶紅包贊助服務器費用

相關(guān)文章

  • Windows應急響應排查思路,應急響應基礎(chǔ)技能

    Windows應急響應排查思路,應急響應基礎(chǔ)技能

    「作者簡介」: CSDN top100、阿里云博客專家、華為云享專家、網(wǎng)絡(luò)安全領(lǐng)域優(yōu)質(zhì)創(chuàng)作者 「推薦專欄」: 對網(wǎng)絡(luò)安全感興趣的小伙伴可以關(guān)注專欄《網(wǎng)絡(luò)安全入門到精通》

    2024年02月01日
    瀏覽(20)
  • 網(wǎng)絡(luò)安全 hw 藍隊實戰(zhàn)之溯源

    網(wǎng)絡(luò)安全 hw 藍隊實戰(zhàn)之溯源

    聲明:作者所發(fā)布的文章及工具只限交流學習,不承擔任何責任!如有侵權(quán),請告知我立即刪除。 對于攻防演練藍軍的伙伴們來說,最難的技術(shù)難題可能就是溯源,尤其在今天代理橫行的時代更加難以去溯源攻擊者。這里我就舉兩個溯源來幫助大家梳理溯源過程,一個是只溯

    2024年02月12日
    瀏覽(23)

  • hw藍隊初級的一次面試(基礎(chǔ))

    1、失效的訪問控制(越權(quán)) 2、加密失敗 3、注入 4、不安全的設(shè)計 5、安全配置錯誤 6、易受攻擊和過時的組件 7、認證和授權(quán)失敗 8、軟件和數(shù)據(jù)完整性故障 9、安全日志記錄和監(jiān)控失效 10、服務端請求偽造 CSRF:跨站請求攻擊(XSRF) 發(fā)生條件 :當用戶在安全網(wǎng)站A登錄后保

    2024年02月01日
    瀏覽(21)

  • 2023網(wǎng)絡(luò)安全HW藍隊面試題匯總

    護網(wǎng)行動是提高國家網(wǎng)絡(luò)安全防御能力的一種有效手段,而藍隊作為攻防演習中的防守方,也是護網(wǎng)行動的重要一份子。 在這篇文章中,我們將匯總多篇有關(guān)護網(wǎng)行動藍隊初級人員面試題的資料,對這些資料進行整合和分析,為準備參加面試的藍隊初級人員提供參考,為讀者

    2024年02月13日
    瀏覽(25)
  • Windows應急響應小結(jié)

    Windows應急響應小結(jié)

    目錄 應急響應流程 賬戶排查 網(wǎng)絡(luò)排查 進程排查 內(nèi)存分析 日志分析 PDCERF模型 P(Preparation 準備):信息搜集,工具準備 D(Detection 檢測):了解資產(chǎn)現(xiàn)狀,明確造成影響,嘗試進行攻擊路徑溯源 C(Containment 遏制):關(guān)閉端口、服務,停止進程,拔網(wǎng)線 E(Eradication 根除):

    2024年04月27日
    瀏覽(44)
  • Windows應急響應排查思路

    Windows應急響應排查思路

    「作者簡介」: CSDN top100、阿里云博客專家、華為云享專家、網(wǎng)絡(luò)安全領(lǐng)域優(yōu)質(zhì)創(chuàng)作者 「推薦專欄」: 對網(wǎng)絡(luò)安全感興趣的小伙伴可以關(guān)注專欄《網(wǎng)絡(luò)安全入門到精通》

    2023年04月20日
    瀏覽(20)

  • 應急響應-Windows

    前言 作者簡介:不知名白帽,網(wǎng)絡(luò)安全學習者。 博客主頁:不知名白帽的博客_CSDN博客-網(wǎng)絡(luò)安全,CTF,內(nèi)網(wǎng)滲透領(lǐng)域博主 網(wǎng)絡(luò)安全交流社區(qū):https://bbs.csdn.net/forums/angluoanquan 目錄 常用命令 敏感目錄 日志分析 系統(tǒng)日志 安全日志 命令 說明 regedit? ? ? ?? 注冊表 taskmgr? ? ? ?

    2024年02月12日
    瀏覽(45)

  • Windows快捷命令-應急響應

    前言 作者簡介:不知名白帽,網(wǎng)絡(luò)安全學習者。 博客主頁:https://blog.csdn.net/m0_63127854?type=blog 網(wǎng)絡(luò)安全交流社區(qū):https://bbs.csdn.net/forums/angluoanquan 目錄 注意: 操作系統(tǒng)信息 查看操作系統(tǒng)信息 環(huán)境變量 賬戶和組 網(wǎng)卡 進程 計劃任務 日志 文件 其他 查找隱藏用戶 查找克隆用戶

    2024年02月06日
    瀏覽(18)
  • 應急響應排查思路(Windows篇)

    應急響應排查思路(Windows篇)

    「作者簡介」: CSDN top100、阿里云博客專家、華為云享專家、網(wǎng)絡(luò)安全領(lǐng)域優(yōu)質(zhì)創(chuàng)作者 「推薦專欄」: 對網(wǎng)絡(luò)安全感興趣的小伙伴可以關(guān)注專欄《網(wǎng)絡(luò)安全入門到精通》

    2023年04月19日
    瀏覽(21)
  • 記一次Windows勒索病毒應急響應實戰(zhàn)

    記一次Windows勒索病毒應急響應實戰(zhàn)

    查看本地用戶,未發(fā)現(xiàn)異常: 打開任務管理器,發(fā)現(xiàn)可疑進程F.exe: 利用wmi查看進程信息,發(fā)現(xiàn)其位置在開始菜單啟動項中: C:UsersgyAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup 同時,通過任務管理器,發(fā)現(xiàn)windows臨時文件夾中也有該程序 通過測試可知F.exe為勒索病毒程

    2024年02月06日
    瀏覽(26)

覺得文章有用就打賞一下文章作者

支付寶掃一掃打賞

博客贊助

微信掃一掃打賞

請作者喝杯咖啡吧~博客贊助

支付寶掃一掃領(lǐng)取紅包,優(yōu)惠每天領(lǐng)

二維碼1

領(lǐng)取紅包

二維碼2

領(lǐng)紅包