Windows應急響應一般思路(二)

進程排查

進程(Process)是計算機中的程序關于某數據集合上的一次運行活動,是系統進行資源分配和調度的基本單位,是操作系統結構的基礎

無論是在Windows系統還是Linux系統中,主機在感染惡意程序后,惡意程序都會啟動相應的進程,來完成相關的惡意操作

Windows進程排查

對于Windows系統中的進程排查,主要是找到

  • 惡意進程的PID
  • 程序路徑
  • PPID(PID的父進程)
  • 程序加載的DLL

對于進程的排查,一般有如下幾種方法

任務管理器

比較直觀的方法是通過【任務管理器】查看可疑程序,但是需要在打開【任務管理器】窗口后,添加【命令行】和【映射路徑名稱】等進程頁列,以方便獲取更多進程信息

tasklist

在命令行中輸入【tasklist】命令,可顯示運行在計算機中的所有進程,可查看進程的映像名稱、PID、會話名等信息

【tasklist】命令添加特定參數,還可以查看每個進程提供的服務

  • 添加svc參數,可以顯示每個進程和服務的對應情況
  • 輸入【tasklist /m】命令查詢進程加載的惡意進程
  • 如果要想查詢特定DLL的調用情況,可以使用命令【tasklist /m DLL名稱】

netstat

在命令行中輸入【netstat】命令,可顯示網絡連接的信息,包括活動的TCP連接、路由器和網絡接口信息,相關參數如下

  • -a:顯示所有連接和偵聽端口
  • -b:顯示在創建每個連接或偵聽端口時涉及的可執行程序
  • -n:以數字形式顯示地址和端口號
  • -o:顯示擁有的與每個連接關聯的進程ID
  • -p proto:顯示proto指定的協議的連接

常見的網絡狀態說明如下:

  • LISTENING:偵聽狀態
  • ESTABLISHED:建立連接
  • CLOSE WAIT:對方主動關閉連接或網絡異常導致連接中斷

在排查過程中,一般會使用【netstat -ano | findstr "ESTABLISHED"】命令查看目前的網絡連接,定位可疑的ESTABLISHED

根據netstat里面的pid,可以再結合tasklist命令進行進程查詢tasklist | findstr "PID"

注意如果攻擊者做了進程遷移,這里可能搜不到對應進程

wmic

使用【wmic】命令進行查詢

  • 獲取系統進程信息: wmic process
  • 根據應用程序查找PID: wmic process where name="cmd.exe" get processid, executablepath, name
  • 根據PID查找應用程序: wmic process where processid="4296" get executablepath, name
  • 以 CSV格式來顯示進程的名稱、父進程ID、進程ID:wmic process get name,parentprocessid,processid/format :csv

其他類似命令如下:

  • wmic process get ExecutablePath,processid/format: csv
    • 以csv格式來顯示進程路徑、進程ID信息
  • wmic process get name,ExecutablePath,processid,parentprocessid/format: csv | findstr /I "appdata"
    • 以csv格式來顯示進程的名稱、進程路徑、進程ID、父進程D信息
  • wmic process where processid=[PID] get parentprocessid
    • 以PID的值作為條件來獲取其父進程的PID情況
  • wmic process where processid=[PID] get commandline
    • 以PID的值作為條件來獲取其命令行
  • wmic process where name="malware.exe" call terminate
    • 刪除"malware.exe"惡意程序的進程
  • wmic process where processid=[PID] delete
    • 刪除PID為某值的進程

進程時間

WINDOWS可以借助第三方工具Process Explorer排查

進程資源管理器 - Sysinternals | Microsoft Learn

服務排查

服務可以理解為運行在后臺的進程

這些服務可以在計算機啟動時自動啟動,也可以暫停和重新啟動,而且不顯示任何用戶界面

服務非常適合在服務器上使用,通常在為了不影響在同一臺計算機上工作的其他用戶,且需要長時間運行功能時使用

在應急響應排查過程中,服務作為一種運行在后臺的進程,是惡意軟件常用的駐留方法

Windows服務排查

圖形化方法

打開【運行】對話框,輸入【services.msc】命令,可打開【服務】窗口,查看所有的服務項,包括服務的名稱、描述、狀態等

命令方法

  • 查看當前運行的服務: net start

本文來自互聯網用戶投稿,該文觀點僅代表作者本人,不代表本站立場。本站僅提供信息存儲空間服務,不擁有所有權,不承擔相關法律責任。
如若轉載,請注明出處:http://www.pswp.cn/pingmian/93956.shtml
繁體地址,請注明出處:http://hk.pswp.cn/pingmian/93956.shtml
英文地址,請注明出處:http://en.pswp.cn/pingmian/93956.shtml

如若內容造成侵權/違法違規/事實不符,請聯系多彩編程網進行投訴反饋email:809451989@qq.com,一經查實,立即刪除!

相關文章

FFmpeg03:多媒體文件處理基礎

FFmpeg03:多媒體文件處理基礎

日志系統 #include <libavutil/log.h>av_log_set_level(AV_LOG_DEBUG)av_log(NULL, AV_LOG_INFO, “…%s\n”, op) 常用日志級別 AV_LOG_ERROR AV_LOG_WARNING AV_LOG_INFO Demo log.cpp #include <iostream> extern "C" { #include <libavutil/log.h…
閱讀更多...
【每天一個知識點】AIOps 與自動化管理

【每天一個知識點】AIOps 與自動化管理

一、AIOps 的內涵AIOps&#xff08;Artificial Intelligence for IT Operations&#xff09;&#xff1a;指將人工智能、大數據分析和機器學習技術應用于 IT 運維管理中。主要目標是&#xff1a;利用智能算法對云平臺、網絡、應用和日志等海量運維數據進行實時分析&#xff0c;…
閱讀更多...
ios使用saveVideoToPhotosAlbum 保存視頻失敗提示 invalid video

ios使用saveVideoToPhotosAlbum 保存視頻失敗提示 invalid video

ios使用saveVideoToPhotosAlbum 保存視頻失敗提示 invalid video 解決辦法 iOS 上對保存到相冊的視頻存在某種格式和分辨率上的限制&#xff0c;建議先自查看下視頻生成的參數&#xff0c;可以先試試蘋果自帶瀏覽器 safari 上能否播放該視頻。 如果不能播放&#xff0c;證明 io…
閱讀更多...
Vue基礎(③父子組件)

Vue基礎(③父子組件)

房子&#xff08;父組件&#xff09;包含窗戶和門&#xff08;子組件&#xff09; 窗戶和門&#xff08;子組件&#xff09;是房子&#xff08;父組件&#xff09;的一部分父組件<!-- 父組件&#xff1a;比如叫 Home.vue --> <template><div><h1>這是父…
閱讀更多...
AI領域的語義空間是什么?

AI領域的語義空間是什么?

寫在前面&#xff1a;本文將從簡單的二維空間來逐漸展開問題&#xff0c;帶您理解語義空間。距離和體型&#xff1a;這里嘗試用距離和體型這兩個尺度來理解語義空間&#xff0c;先說的是低維情況&#xff0c;后面在嘗試理解高維的情況。比如&#xff0c;在二維空間的x,y坐標系&…
閱讀更多...
排序---插入排序

排序---插入排序

基本思想對于插入排序而言&#xff0c;它的基本思想就是往已經排好序的序列里邊插入數據。思想類似于玩撲克牌。接下來的排序都是基于下邊的這個數組。int a[ ] { 5 , 3 , 9 , 6 , 2 , 4 , 7 , 1 , 8 };直接插入排序我們想要將這個數組排成升序&#xff0c;在最一開始&#xf…
閱讀更多...
Java性能優化實戰(四):IO與網絡優化的4個關鍵方向

Java性能優化實戰(四):IO與網絡優化的4個關鍵方向

IO與網絡操作是Java應用性能的常見瓶頸&#xff0c;尤其在高并發場景下&#xff0c;低效的IO處理會導致響應緩慢、資源浪費等問題。本文將聚焦IO與網絡優化的四個核心方向&#xff0c;通過真實案例、代碼對比和性能數據&#xff0c;詳解如何提升IO效率、減少網絡傳輸開銷&#…
閱讀更多...
對齊Wireshark和USRP捕獲信號的波形

對齊Wireshark和USRP捕獲信號的波形

一、USRP信號 USRP捕獲信號的波形如下&#xff1a; 放大后&#xff1a; 100ms 10ms 1ms 100us 10us 1us 二、波形分析 2.1 時間分辨率 采樣率61.44MHz, 對應時間分辨率為1/61.44us0.01627us16.27ns。 這時間分辨率夠用了&#xff0c;數據包長度為1到20us&#xff1a; 2.2 W…
閱讀更多...
2025年加密軟件技術深度分析:從原理到企業級應用實踐

2025年加密軟件技術深度分析:從原理到企業級應用實踐

一、加密技術基礎與分類加密技術作為信息安全的核心基石&#xff0c;其基本原理是通過特定算法將明文數據轉換為不可讀的密文&#xff0c;只有持有正確密鑰的授權用戶才能解密還原。2025年主流的加密技術可分為三大類&#xff1a;?對稱加密?&#xff1a;使用相同密鑰進行加密…
閱讀更多...
打工人日報20250822

打工人日報20250822

打工人日報20250822 對自己負責&#xff0c;可以是換一個角度看待自己不喜歡的工作&#xff0c;轉換一個角度&#xff0c;從中找到自己感興趣的點 真的非常不想計算聲場的數據 啊啊啊啊啊 技術 STM32燒錄問題 STM32 代碼燒錄失敗&#xff1a;Error: Flash Download failed …
閱讀更多...
消費盲返模式:重構快消行業營銷生態的破局之道與風險防控指南

消費盲返模式:重構快消行業營銷生態的破局之道與風險防控指南

一、模式爆發&#xff1a;快消行業的新增長引擎在流量成本攀升、用戶留存困難的商業環境下&#xff0c;消費盲返模式正成為零售領域的一匹黑馬。其核心邏輯在于通過"消費即投資"的機制設計&#xff0c;將每筆交易轉化為后續100筆訂單的激勵源&#xff0c;形成獨特的&…
閱讀更多...
STM32-FreeRTOS快速入門指南(上)

STM32-FreeRTOS快速入門指南(上)

第一章 FreeRTOS系統配置 1. FreeRTOSConfig.h文件 針對 FreeRTOSConfig.h 文件&#xff0c;在 FreeRTOS 官方的在線文檔中有詳細的說明&#xff0c;網址為&#xff1a; https://www.freertos.org/a00110.html FreeRTOS 使用 FreeRTOSConfig.h 文件進行配置和裁剪。 FreeRTOSCo…
閱讀更多...
南溪智融雙碳示范基地建筑設備管理系統 + 智能照明系統調試完成:筑牢 “綠色智能” 運營基石

南溪智融雙碳示范基地建筑設備管理系統 + 智能照明系統調試完成:筑牢 “綠色智能” 運營基石

南溪智融雙碳示范基地作為聚焦 “雙碳” 目標的標桿項目&#xff0c;其建筑設備管理系統與智能照明系統的調試完成&#xff0c;標志著基地在 “設備高效運維、能源精準管控、低碳場景落地” 方面邁出關鍵一步。兩大系統深度契合示范基地 “以技術賦能雙碳” 的核心定位&#xf…
閱讀更多...
c++的可擴展性方法

c++的可擴展性方法

在C編碼中&#xff0c;"方便擴展"通常指的是代碼設計具有良好的**可維護性、可重用性和靈活性**&#xff0c;能夠在不修改原有代碼或僅少量修改的情況下&#xff0c;輕松添加新功能、支持新類型或適應新需求。以下是一些典型的、體現“方便擴展”思想的C編程案例&…
閱讀更多...
加速車輛開發 風丘道路載荷數據采集 (RLDA) 測試方案

加速車輛開發 風丘道路載荷數據采集 (RLDA) 測試方案

一、背景 整車廠在汽車上市前&#xff0c;了解產品所能承受的載荷是非常重要的&#xff0c;因此需進行道路載荷數據采集&#xff08;RLDA&#xff09;測試。通過獲得車輛在實際試驗場或公路道路中行駛的載荷信息來為整車臺架道路模擬試驗提供目標信號輸入&#xff0c;以及為用于…
閱讀更多...
大模型0基礎開發入門與實踐:第4章 “腦細胞”的模擬:神經網絡與深度學習入門

大模型0基礎開發入門與實踐:第4章 “腦細胞”的模擬:神經網絡與深度學習入門

第4章 “腦細胞”的模擬&#xff1a;神經網絡與深度學習入門 1. 引言 在上一章&#xff0c;我們像一位偵探&#xff0c;學會了使用決策樹這樣的工具&#xff0c;從清晰的線索&#xff08;花瓣、花萼的尺寸&#xff09;中推理出確定的結論&#xff08;鳶尾花的種類&#xff09;。…
閱讀更多...
微服務之間的調用關系如何處理,才能防止循環依賴

微服務之間的調用關系如何處理,才能防止循環依賴

在微服務架構中&#xff0c;循環依賴是常見的設計問題&#xff0c;可能導致系統部署失敗、啟動順序沖突、故障排查困難等問題。處理循環依賴的核心原則是通過架構設計打破依賴閉環&#xff0c;以下是具體的解決方案&#xff1a; 1. 重新劃分服務邊界&#xff08;根本解決&#…
閱讀更多...
粗糧廠的基于flink的汽車實時數倉解決方案

粗糧廠的基于flink的汽車實時數倉解決方案

基于flink的實時數倉解決方案1 背景2 業務模型1 業務框架2 難點痛點3技術選型1 計算引擎2 中間存儲3 查詢引擎4 flink計算架構設計1 純實時架構2 純實時定期補充離線數據3 純實時定期刷新過期binlog4 lamdba 分字段更新 歷史過期數據刷新5 痛點解決delta joinmerge-enginehol…
閱讀更多...
Datawhale AI夏令營---coze空間共學

Datawhale AI夏令營---coze空間共學

1.進入coze空間 2.點擊免費使用 3.點擊制作播客&#xff0c;微信上面選好鏈接 徹底搞懂深度學習-模型訓練和推理&#xff08;動圖講解&#xff09; 4.運行過程 5.音頻鏈接 https://lf-bot-studio-plugin-resource.coze.cn/obj/bot-studio-platform-plugin-tos/sami_podcast…
閱讀更多...
遙感機器學習入門實戰教程|Sklearn案例⑥:網格搜索與超參數優化

遙感機器學習入門實戰教程|Sklearn案例⑥:網格搜索與超參數優化

在前幾篇案例中&#xff0c;有同學在后臺留言&#xff1a;“模型的參數到底怎么調&#xff1f;比如 SVM 的 C 和 γ&#xff0c;隨機森林的樹數和深度&#xff0c;要怎么選才能得到最優結果呢&#xff1f;”這是一個非常經典的問題&#xff1a;參數選不好&#xff0c;模型效果差…
閱讀更多...
最新文章

Copyright @ 2022~2023