- 综合排序
- 最热优先
- 最新优先
- 来自专栏应急响应
Windows应急响应
2024年7月25日10点25分,用户反馈出现失陷主机异常,2024年7月26日10点30分,用户反馈蛀虫占用CPU过高,运行异常
83210编辑于 2024-08-13 - 来自专栏坐看云起时
windows应急响应
Windows的应急 学习过程中看到师傅文章,所以顺便做了个思维导图 师傅太强了 原文链接已放文末。 常见的应急响应事件分类。 查看Windows服务所对应的端口: %system%/system32/drivers/etc/services (一般%system%就是C:\Windows) Tips:当我们通过第3步确定落地文件之后 2、检查计划任务 3、服务自启动 1.4 检查系统相关信息 1、查看系统版本以及补丁信息 检查方法:Win+R打开运行窗口,输入systeminfo,查看系统信息 2、查找可疑目录及文件 UserProfile%\Recent,分析最近打开文件 在服务器各个目录,可根据文件夹内文件列表时间进行排序,查找可疑文件 回收站、浏览器下载目录、浏览器历史记录 修改时间在创建时间之前的为可疑文件 3、 directory="logs" prefix="localhost_access_log." suffix=".txt" pattern="common" resolveHosts="false"/> 3、
2.4K30编辑于 2023-05-09 - 来自专栏红蓝对抗
Windows应急响应
web入侵:Webshell,网页挂马,主页篡改系统入侵:病毒木马,远控后门,勒索软件网络攻击:ARP欺骗,DDOS攻击,DNS劫持针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 但是,在一次被入侵成功的安全事件,我们肯定需要一系列分析溯源,尽可能把整个事件还原,还需要出个应急响应报告的。 入侵排查思路 检查系统账号安全 检查异常端口、进程 检查启动项、计划任务、服务 检查系统相关信息 杀软查杀 日志分析 处置流程: 准备阶段:获取整个事件的信息(比如发生时间,出现啥异常等),准备应急响应相关工具 可进行断网,防火墙策略隔离,关键数据备份,数据恢复 检测阶段:技术分析 取证阶段:确定攻击事件,确定攻击时间,确定攻击过程,确认攻击对象 处置阶段:提出安全问题,提出解决方案,业务恢复 总结阶段:完整应急响应事件报告编写 防范:1、安装安全软件并升级病毒库,定期全盘扫描,保持实时防护2、及时更新 Windows安全补丁,开启防火墙临时关闭端口3、及时更新web漏洞补丁,升级web组件 勒索 勒索软件是一种来自密码病毒学的恶意软件
2.6K21编辑于 2022-06-30 - 来自专栏世荣的博客
Windows应急响应Day3:勒索病毒
应急场景 某天早上,管理员打开OA系统,首页异常,显示乱码: image.png 事件分析 登录网站服务器进行排查,在站点目录下面发现所有脚本文件及附件都被加密为.sage结尾的文件,每个文件夹下面都有一个
48120编辑于 2022-03-21 - 来自专栏FreeBuf
说说Windows安全应急响应
说了这么多下面小白浅谈一下应急响应,我们看一下windows应急处理。 Windows安全应急处置 攻击者入侵一个网站必然会对企业的业务系统造成不同程度的损害,即使入侵不成功,也会使业务系统访问缓慢,即使在网络良好的情况下。 下面我们可以从以下几个方面进行排查windows主机。 1) 是否有异常进程、用户 2) 敏感端口开放情况 3) 密码强度 4) 日志分析 5)异常启动项、服务、计划任务 6) 注册表信息 7) 其它 进程信息 我们输入tasklis或者打开任务管理器查看进程信息 ,EXTRACTTOKEN(Message,39,' ') as Loginip FROM c:\Security.evtx where EventID=4625 GROUP BY Message" 3、
3.6K20发布于 2019-08-26 - 来自专栏黑客编程
Windows应急响应-异常资源
原文:助安社区-应急响应实战指南 http://security-incident-respons.secself.com端口检查端口连接情况,是否有远程连接、可疑连接。 查看进程对应的程序位置:任务管理器 -- 选择对应进程 -- 右键打开文件位置运行输入 wmic,cmd 界面输入 `process`tasklist /svc 进程 -- PID -- 服务查看Windows 服务所对应的端口:%systemroot%/system32/drivers/etc/services(一般 %systemroot% 就是 C:\Windows 路径)图片图片
75010编辑于 2023-04-21 - 来自专栏渗透云笔记
应急响应之Windows、Linux
Windows下系统应急: 首先 断网~ 一、检测阶段 1. 备份Web页面 ? 2. 查找隐藏账户 ? 3. 查找可疑进程 ? ? ? 4. 查杀Webshell ? 5. 3.关闭异常进程 ? 4.删除后门文件 ? ? ? 5.根除阶段 (1)修改服务器超级管理员账户密码 (2)修改网站后台管理员账户密码 (3)修复漏洞 (4)更改后台地址 6.接入网络恢复访问 Linux下系统应急: 首先 断网~ 一、 检测阶段 1. 3. 查找可疑进程 ? 4. 查看历史命令 ? 5. 查看登录信息 ? 6. 检查内核后门 ? 7. 2.更改网站后台账户密码 3.修复漏洞 4.更改网站后台地址 5.重新接入网络
1.5K10发布于 2019-12-17 - 来自专栏Bypass
【应急响应】windows入侵排查思路
常见的应急响应事件分类: web入侵:网页挂马、主页篡改、Webshell 系统入侵:病毒木马、勒索软件、远控后门 网络攻击:DDOS攻击、DNS劫持、ARP欺骗 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法 3、查看服务器是否存在隐藏账号、克隆账号。 检查方法: a、打开注册表 ,查看管理员对应键值。 b、使用D盾_web查杀工具,集成了对克隆账号检测的功能。 ? b、导出Windows日志--安全,利用Log Parser进行分析。 ? 二、检查异常端口、进程 1、检查端口连接情况,是否有远程连接、可疑连接。 3、服务自启动 检查方法:单击【开始】>【运行】,输入services.msc,注意服务状态和启动类型,检查是否有异常服务。 更新病毒库) 火绒安全软件:https://www.huorong.cn 360杀毒:http://sd.360.cn/download_center.html 病毒动态: CVERC-国家计算机病毒应急处理中心
3.1K30发布于 2019-07-08 - 来自专栏FreeBuf
应急响应处置流程Windows篇
文档在自己的文件夹静静的躺了快半年了,好吧,先把应急响应流程步骤(乙方视角)和windows拆出来,在进行应急响应事件处置时需严格遵守公司的应急响应制度。 在确认安全事件后明确应急目的: 病毒、后门清除工作 协助业务系统安全的恢复上线 攻击溯源工作。 通常会存在以下工作内容:病毒分析处置、业务恢复、安全加固、溯源分析、临时需求处置、产品对接与使用、应急指挥与协调。 二、技术部分 1. \Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion 3. 应用漏洞直接或间接造成的入侵事件。如Struts 2远程命令执行、WebLogic弱口令或远程代码执行、IIS PUT上传漏洞、FTP弱口令或溢出攻击等。
1.7K41发布于 2019-06-03 - 来自专栏Timeline Sec
HW防守 | Windows应急响应基础
常见的应急响应事件分类: web入侵:网页挂马、主页篡改、Webshell 系统入侵:病毒木马、勒索软件、远控后门 网络攻击:DDOS攻击、DNS劫持、ARP欺骗 入侵排查思路 web入侵:对中间价日志进行分析 主机的会话 4779:断开到一台 Windows 主机的会话 ? 3、查看服务器是否存在隐藏账号、克隆账号。 检查方法: a、打开注册表 ,查看管理员对应键值。 b、导出Windows日志--安全,利用Log Parser进行分析。 \System32\Tasks\ C:\Windows\SysWOW64\Tasks\ C:\Windows\tasks\ *.job(指文件) 8、查看可疑目录及文件 查看 host : type
1.6K40发布于 2020-06-04 - 来自专栏一己之见安全团队
应急响应篇——Windows进程排查
Windows的进程排查比较复杂,所以放在前面来先讲。 正经来说Windows进程在任务管理器这看↓(结尾附上windows白进程,也就是系统自带进程供大家参考,排查时可以优先去除掉非敏感非可利用部分,提高效率): 图片内容不重要,重要的是那么多进程,如何排查出可疑进程呢 敏感进程(cmd这种肯定不用说了,注意排查一些敏感路径下的调用,system32这种)列出windows敏感路径供大家参考: C:\Windows\system.ini C:\windows\system32 null-null.142^v100^pc_search_result_base5&utm_term=%E5%B8%B8%E8%A7%81%E6%9C%A8%E9%A9%AC%E7%AB%AF%E5%8F%A3& ctsvccda.exe Wuauclt.exe cvpnd.exe wuaudt.exe ddhelp.exe WUCrtUpd.exe dfssvc.exe 1xconfig.exe dllhost.exe 3dm2
1.1K10编辑于 2024-06-05 - 来自专栏Ms08067安全实验室
GetInfo windows应急响应信息采集工具
GetInfo介绍 快速收集 Windows 相关信息,为应急响应争取更多的时间 Windows Emergency Response (应急响应信息采集) Windows information www.yunzhongzhuan.com/#sharefile=NeJlMEZ8_47044 解压密码:www.ddosi.org 使用截图 导出的信息在桌面的output目录下 目录结构: Output │ 3days_modified.txt
1.4K40编辑于 2022-09-26 - 来自专栏漫流砂
服务隐藏与排查 | Windows 应急响应
XblGameSave" 可以看到,常规检查的时候,无法直接看到 XblGameSave 通过 sc query 指定名称查找显示的是 拒绝访问 通过 sc qc 指定名称查找能够显示出正常内容 如果常规方式看不到,应急响应人员也无法知晓该活动的名称 ,也就无法查询到 3. auto depend= Tcpip obj= Localsystem 创建一个名为 test 的服务,开机自启动执行木马程序,监听 4455 端口 启动服务测试一下 sc start test 3. 日志查询 通过日志 Windows 日志 -> 系统 其中来源为 Service Control Manager 的日志会记录服务的创建与执行 3. Windows API 如果 Windows API 呢 #include <iostream> #include <windows.h> #include <winsvc.h> int main()
1.2K10编辑于 2024-01-19 - 来自专栏漫流砂
常规安全检查阶段 | Windows 应急响应
命令行常规情况下是不区分大小写的,因此大小写都可以 0x00 杀毒软件 如果应急响应过程中允许,使用杀毒程序进行全盘杀毒肯定非常有帮助的,目前很多企业都有自己的终端管控程序,其中部分自带病毒库和杀毒功能 隐藏计划任务排查 如果上面的方法你都找不到计划任务,可以参考我们的文章 《计划任务的攻防战 | Window 应急响应》 https://mp.weixin.qq.com/s/y9_9P6ggxGMrdGMFT-I34A 需要安装,然后设置编写查询命令,也并不适用很多应急场景。 SHELL32.dll" "SHLWAPI"="SHLWAPI.dll" "user32"="user32.dll" "WLDAP32"="WLDAP32.dll" "WS2_32"="WS2_32.dll" 应急响应过程中可以看看是否有缺少的 事件订阅效果都会立即消失 所以 Autoruns 删除消费者是有效的,而且是一种相对合理的方式,因为如何直接将三者均删掉,可能过滤器和绑定原本就是运维人员需要的,只是消费者被篡改了,这样可以保护过滤器和绑定 所以应急响应过程中
3.3K10编辑于 2024-02-05 - 来自专栏FreeBuf
应急响应之windows入侵排查篇
应急响应(Incident Response Service,IRS)是当企业系统遭受病毒传播、网络攻击、黑客入侵等安全事件导致信息业务中断、系统宕机、网络瘫痪,数据丢失、企业声誉受损,并对组织和业务运行产生直接或间接的负面影响时 本文主要讨论windows被入侵后的排查思路。 windows server 2016 下执行 schschtasks windows 7 下执行 at 检查方法3: 利用安全软件查看计划任务。 (一)查看系统版本以及补丁信息 检查方法: 1、在桌面打开运行(可使用快捷键 win+R)输入 systeminfo 2、查看系统信息和补丁状态 3、将内容导入文本,利用 windows-exploit-suggester 0x03 总结 我们在做应急响应时还是需要多从攻击者的角度去思考问题,知己知彼方能百战不殆,那么针对windows系统的入侵排查就介绍到这里,欢迎各位大佬在评论区留言。
2.7K31发布于 2021-09-16 - 来自专栏漫流砂
ICMPDNS 隧道处置方法 | Windows 应急响应
它是之前Windows平台上的网络抓包工具Network Monitor的后续产品,功能更为强大和全面。 -l :4445 -s 192.168.31.83 -t 192.168.31.83:4444 -tcp 1 -key 1234 3. HTTP代理和监听配置:在支持的Windows版本中,可以配置HTTP代理设置和监听器,用于应用层的网络请求处理。 自带的工具 netsh 来帮助我们找出 Windows 上的 icmp 隧道 2. 隧道模拟 直接使用上面的隧道就好,攻击者的服务端为 192.168.31.83 3. netsh 追踪网络行为 启动网络追踪功能(以管理员权限运行) netsh trace start persistent
1K10编辑于 2024-07-01 - 来自专栏红队蓝军
应急响应--windows入侵检查思路及流程
什么时候做应急响应 服务器被入侵,业务出现蠕虫事件,用户以及公司员工被钓鱼攻击,业务被 DDoS 攻击,核心业务出现DNS、链路劫持攻击等等 如何做应急响应 确定攻击时间 查找攻击线索 梳理攻击流程 实施解决方案 定位攻击者 常见应急响应事件分类 web入侵:网页挂马、主页篡改、Webshell 系统入侵:病毒木马、勒索软件、远控后门、系统异常、RDP爆破、SSH爆破、主机漏洞、数据库入侵等 网络攻击:DDOS 方法: 1、 打开cmd,输入"eventvwr.msc",回车运行,打开“事件查看器” 2、 导出 Windows 日志 – 安全 3、 用微软官方工具 Log Parser 进行分析 下载地址:https 3、通过微软官方提供的 Process Explorer 等工具进行排查 。 4727,4737,4739,4762 表示当用户组发生添加、删除时或组内添加成员时生成该事件 设置Setup 1,2,3,4,用来查看windows系统更新的记录,事件ID前后顺序为“已挂起、已安装
1.4K11编辑于 2024-08-01 - 来自专栏安全小圈
应急响应篇_windows端口与进程排查
netstat -ano | findstr “ESTABLISHED” 获取正在链接的IP地址和进程信息
69020发布于 2020-05-26 - 来自专栏世荣的博客
Windows应急响应Day2:蠕虫病毒
应急场景 某天早上:管理员在出口防火墙发现内网服务器不断向外境IP发起主动连接,内网环境无法连通外网。 事件分析 在出口防火墙看到的服务器内网IP。 通过端口异常,跟踪进程ID,可以找到该异常由svchost.exe windows服务主进程引起,svchost.exe向大量远程IP的445端口发送请求。 3.病毒处理:使用conficker蠕虫专杀工具对服务器进行清查,成功清除病毒。 2.定期对windows系统漏洞进行修复,不给病毒可乘之机。
1.4K20编辑于 2022-03-21 - 来自专栏字节脉搏实验室
应急响应篇_windows端口与进程排查
netstat -ano | findstr “ESTABLISHED” 获取正在链接的IP地址和进程信息
1K21发布于 2020-04-07
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号