windows应急响应(二)

news/2024/12/25 1:50:51/文章来源:https://www.cnblogs.com/daydaydream/p/18422913

1.启动项

  • win+r 输入msconfig,在"工具"里找到“任务管理器”;(底部任务栏右键,也可打开),查看启动项
    image

  • 一般应用启动项位置:C:\Users\adnim\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

  • win+r 输入msinfo32,在"软件环境"里可以看到
    image

  • Autoruns功能强大,会自动将所有启动项进行分类,也会自动高亮部分条目,其还支持将文件上传到VituralTotal沙箱去查看分析文件

    • 红色:表示可疑条目,没有发布者或描述,或具有无效的签名。
    • 绿色:表示在上次 Autoruns 扫描之后添加的条目。
    • 黄色:表示找不到文件的条目,其目标文件未在预期位置中找到
    • 紫色:表示条目的位置或路径。

image

2.计划任务

  • win+r输入taskschd.msc 管理员模式运行
  • cmd输入taskschd
  • schtasks /query /v /fo list以列表方式列出(.../fo csv以csv格式输出)
  • Autoruns中的"计划任务"

3.防火墙

  • netsh.exe命令行管理防火墙
    netsh advfirewall show currentprofile(查看防火墙运行状态)
  • win+r 输入firewall.cpl ==》高级设置
  • Systeminformer可以查看实时的应用通过防火墙与外界进行连接的情况
    image

4. 进程排查

  • 任务管理器
    • 任务栏底部,右击,打开任务管理器,选择进程(通过右击标题栏,可添加参数)
    • win+r=>工具=>启动=>任务管理器
  • Procexp工具
  • 火绒剑
  • tasklist
    tasklist /v 显示进程和所有者 /m查看所有进程dll信息

    1.内容太多可以用>>将其输出到文件,再用type命令查看文件:
    tasklist /v >>1.txt|type 1.txt
    2.|more命令慢慢查看输出(空格滚一屏、回车滚一行):
    tasklist /v|more
    3.cmd内容太多会重叠,可以用powershell运行,并在标题框右击设置字体大小

  • taskkill
    taskkill /f /pid 123 /t
  • netstat命令查看IP与端口连接
    netstat -ano 7
    -a显示所有网络
    -n显示端口号而非名称
    -o显示每个进程ID
    -p根据协议过滤
    7 每隔7s刷新一次
    • 状态(State)解释:
      Listening 侦听
      established建立连接
      close_wait对方主动关闭或网络异常连接中断
      timewait:我方主动close断开连接收到对方确认后变为time_wait
      syn_sent表示请求连接,通常状态很短暂,若有多个此类连接,说明有可能遭受冲击波等病毒了

    注意:TCP协议中有TIME_WAIT这个状态
    主要有两个原因
    1。防止上一次连接中的包,迷路后重新出现,影响新连接(经过2MSL,上一次连接中所有的重复包都会消失)
    2。可靠的关闭TCP连接。在主动关闭方发送的最后一个 ack(fin) ,有可能丢失,这时被动方会重新发
    fin, 如果这时主动方处于 CLOSED 状态 ,就会响应 rst 而不是 ack。所以主动方要处于 TIME_WAIT 状态,而不能是 CLOSED 。

  • sc命令
    sc qc 服务名
  • powershell排查
    1. get-help *process*查看与进程相关的命令(powershell命令一般动词加名词)
    2. get-process获取终端进程
    3. Stop-process -name 进程名 停止某个进程
    4. Get-Process -Name qq|Stop-Process #获取qq进程,然后停止该进程
    5. Get-Process -name qq | Format-List * #获取qq进程详细信息

    1.format-windwos输出格式有format-list或format-table -property设置显示属性,允许通配符

  • wmic命令查询(windows服务器)
    wmic startup list full 查看启动项
    wmic process 查看进程对应文件

5.服务排查

  • win+r输入services.msc
  • win+r输入compmgmt.msc打开“服务”

6.文件痕迹排查

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/801262.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

领导大规模敏捷Leading SAFe认证培训课

领导大规模敏捷Leading SAFe认证课

asio的buffer

ASIO的buffer理解 asio的buffer结构 任何网络库都有提供buffer的数据结构,这个就是收发数据的缓冲区。 asio提供了mutable_buffer 和 const_buffer这两个结构,他们都是一段连续的空间,首字节存储了后续数据的长度。mutable_buffer用于写服务,const_buffer用于读服务。但是这…

格林公式7

例1 计算积分 \[I=\int_Cx^2ydx-xy^2dy, \]其中C是上半圆 \(\begin{aligned} & \text{ }x^2+y^2=a^2,y\geqslant0,\text{ }\\ & \end{aligned}\) 逆时间方向 \[\begin{aligned} & \text{ }x^2+y^2=a^2,y\geqslant0,\text{ }\\ & \end{aligned} \]考虑到上半…

9.21 abc372f

容易发现平移操作,都是 \(to\) 向左平移。然后更新完了过后,\(x\) 再左移。 当然 dp 数组整体是左移的。 本题一个重点就是,假设整个 dp 不动,让我们的操作反着动。

基于AODV和leach协议的自组网络平台matlab仿真,对比吞吐量,负荷,丢包率,剩余节点个数,节点消耗能量

1.算法仿真效果 matlab2017b仿真结果如下(完整代码运行后无水印):本程序系统是《m基于matlab的AODV,leach自组网网络平台仿真,对比吞吐量,端到端时延,丢包率,剩余节点个数,节点消耗能量》的的升级。升级前原文章链接增加了运动节点的路由测试,包括定向运动,随机运动,静止…

笛卡尔坐标张量简介7

张量(tensor) 这一术语最初是用来描述弹性介质各点应力状态的,后来发展成为力学和物理学的一个有力数学工具,目前力学方面的理论性文献都不同程度地这用了这一工具 由坐标原点和三条不共面的标架直线构成的坐标系称为直线坐标系,如果三标架直线上的单位尺度相同,称为笛卡…

尝试RVC音色克隆团长音色

前言 昨晚玩剑网3突发奇想,把团长声音克隆下来,利用语音喵制作成语音DBM。 这样不管团长开不开团,打团也能有团长声音听了诶嘿嘿。 于是当场关闭游戏声音录了打本的素材,本文就边做边记录。 下载 在B站找到了这个教程: 【你的声音,现在是我的了!】https://www.bilibili.…

vsftpd部署(centos7.9)

说明:– vsftpd的版本:vsftpd-3.0.2-29.el7_9.x86_64– ftp根目录:/var/www– ftp 配置文件目录:/etc/vsftpd– ftp 虚拟用户权限配置文件目录:/etc/vsftpd/user_conf 实现目标:– 匿名用户可以登录,但是不能访问虚拟用户的宿主目录,只能访问共享目录– 虚拟用户对自己…

隐私保护体系下网络威胁情报共享的研究现状和方案设计

来源:http://netinfo-security.org/article/2024/1671-1122/1671-1122-24-7-1129.shtml威胁情报 网络威胁情报是关于网络中正在进行的或潜在的恶意活动信息,涵盖但不限于特定的恶意软件样本、恶意IP地址、钓鱼电子邮件信息、黑客组织的入侵行为等内容,对于提前感知预警、防范…

Logisim-013-◇汉字显示

转码在线工具地址 https://www.23bei.com/tool/54.html#仓库地址 https://gitee.com/gitliang/logisim-to-cpu

spring6.1在java17环境下使用反射

引包 <dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-aop</artifactId><version>3.3.4</version> </dependency> 反射代码编写简单的反射方法,如下所示 package com.lw.reflect.c…