- 综合排序
- 最热优先
- 最新优先
- 来自专栏应急响应
Windows应急响应
2024年7月25日10点25分,用户反馈出现失陷主机异常,2024年7月26日10点30分,用户反馈蛀虫占用CPU过高,运行异常
83210编辑于 2024-08-13 - 来自专栏坐看云起时
windows应急响应
Windows的应急 学习过程中看到师傅文章,所以顺便做了个思维导图 师傅太强了 原文链接已放文末。 常见的应急响应事件分类。 web入侵 网页挂马 主页篡改 webshell 系统入侵 病毒木马 勒索病毒 远控木马 网络攻击 ddos dns劫持 arp欺骗 windows 查看Windows服务所对应的端口: %system%/system32/drivers/etc/services (一般%system%就是C:\Windows) Tips:当我们通过第3步确定落地文件之后 \SOFTWARE\Micorsoft\Windows\CurrentVersion\RunOnce检查右侧是否有启动异常的项目,有则删除,并建议安装杀毒软件进行病毒查杀,清除残留病毒或木马。 resolveHosts="false"/> 3、IIS服务器 默认位置:%systemroot%\system32\logfiles\ 可自由设置 默认日志命名方式:ex+年份的末两位数字+月份+日期+.log 4、
2.4K30编辑于 2023-05-09 - 来自专栏红蓝对抗
Windows应急响应
web入侵:Webshell,网页挂马,主页篡改系统入侵:病毒木马,远控后门,勒索软件网络攻击:ARP欺骗,DDOS攻击,DNS劫持针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 但是,在一次被入侵成功的安全事件,我们肯定需要一系列分析溯源,尽可能把整个事件还原,还需要出个应急响应报告的。 入侵排查思路 检查系统账号安全 检查异常端口、进程 检查启动项、计划任务、服务 检查系统相关信息 杀软查杀 日志分析 处置流程: 准备阶段:获取整个事件的信息(比如发生时间,出现啥异常等),准备应急响应相关工具 可进行断网,防火墙策略隔离,关键数据备份,数据恢复 检测阶段:技术分析 取证阶段:确定攻击事件,确定攻击时间,确定攻击过程,确认攻击对象 处置阶段:提出安全问题,提出解决方案,业务恢复 总结阶段:完整应急响应事件报告编写 、3389等端口 3、及时更新web漏洞补丁,升级web组件 4、备份。
2.6K21编辑于 2022-06-30 - 来自专栏FreeBuf
说说Windows安全应急响应
在互联网高速发展的时代,我们应该如何保护个人信息不被窃取、不被不法分子当作利益的筹码,当我们遇到入侵事件的时候,我们应该怎么办,第一步怎么办,怎么推进排查过程、是否有应急预案等,这都是我们需要了解的。 说了这么多下面小白浅谈一下应急响应,我们看一下windows应急处理。 Windows安全应急处置 攻击者入侵一个网站必然会对企业的业务系统造成不同程度的损害,即使入侵不成功,也会使业务系统访问缓慢,即使在网络良好的情况下。 下面我们可以从以下几个方面进行排查windows主机。 1) 是否有异常进程、用户 2) 敏感端口开放情况 3) 密码强度 4) 日志分析 5)异常启动项、服务、计划任务 6) 注册表信息 7) 其它 进程信息 我们输入tasklis或者打开任务管理器查看进程信息
3.6K20发布于 2019-08-26 - 来自专栏黑客编程
Windows应急响应-异常资源
原文:助安社区-应急响应实战指南 http://security-incident-respons.secself.com端口检查端口连接情况,是否有远程连接、可疑连接。 查看进程对应的程序位置:任务管理器 -- 选择对应进程 -- 右键打开文件位置运行输入 wmic,cmd 界面输入 `process`tasklist /svc 进程 -- PID -- 服务查看Windows 服务所对应的端口:%systemroot%/system32/drivers/etc/services(一般 %systemroot% 就是 C:\Windows 路径)图片图片
75010编辑于 2023-04-21 - 来自专栏渗透云笔记
应急响应之Windows、Linux
Windows下系统应急: 首先 断网~ 一、检测阶段 1. 备份Web页面 ? 2. 查找隐藏账户 ? 3. 查找可疑进程 ? ? ? 4. 查杀Webshell ? 5. 4.删除后门文件 ? ? ? 5.根除阶段 (1)修改服务器超级管理员账户密码 (2)修改网站后台管理员账户密码 (3)修复漏洞 (4)更改后台地址 6.接入网络恢复访问 Linux下系统应急: 首先 断网~ 一、 检测阶段 1. 4. 查看历史命令 ? 5. 查看登录信息 ? 6. 检查内核后门 ? 7. 查找Webshell (1) docker cp /home/test/桌面/hm xxx:/var/www. 2.更改网站后台账户密码 3.修复漏洞 4.更改网站后台地址 5.重新接入网络
1.5K10发布于 2019-12-17 - 来自专栏我的安全视界观
【应急能力提升4】实战应急响应经验
02 — 应急响应时间 每个专题分析一周,各小组一般都是在下班后及利用周末时间进行分析。整个应急过程,加上报告编写及汇报材料准备,平均每个专题花费十天。 03 — 应急响应流程 在真实场景中,应急响应的情况多种多样,比如遇到勒索病毒、挖矿程序、网页篡改、DDOS攻击、CC攻击等,对应的响应流程也会不同。 这种场景一般是乙方安全公司做应急响应服务时的常规操作,降低了应急难度,提升效率。 此外攻击队还在第二次课题模拟中,留下一个彩蛋:在windows桌面上,留下一张名为hackyourown.jpg的图片(实则利用exiftool rce漏洞植入了后门),等待应急响应同学使用exiftool 看了各组应急响应报告中的修复建议,思路比较固定,基本都分为技术和管理方面。
2.8K20编辑于 2022-08-31 - 来自专栏Bypass
【应急响应】windows入侵排查思路
常见的应急响应事件分类: web入侵:网页挂马、主页篡改、Webshell 系统入侵:病毒木马、勒索软件、远控后门 网络攻击:DDOS攻击、DNS劫持、ARP欺骗 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法 4、结合日志,查看管理员登录时间、用户名是否存在异常。 检查方法: a、Win+R打开运行,输入“eventvwr.msc”,回车运行,打开“事件查看器”。 b、导出Windows日志--安全,利用Log Parser进行分析。 ? 二、检查异常端口、进程 1、检查端口连接情况,是否有远程连接、可疑连接。 c、单击【开始】>【运行】,输入 regedit,打开注册表,查看开机启动项是否正常,特别注意如下三个注册表项: HKEY_CURRENT_USER\software\micorsoft\windows 更新病毒库) 火绒安全软件:https://www.huorong.cn 360杀毒:http://sd.360.cn/download_center.html 病毒动态: CVERC-国家计算机病毒应急处理中心
3.1K30发布于 2019-07-08 - 来自专栏FreeBuf
应急响应处置流程Windows篇
文档在自己的文件夹静静的躺了快半年了,好吧,先把应急响应流程步骤(乙方视角)和windows拆出来,在进行应急响应事件处置时需严格遵守公司的应急响应制度。 在确认安全事件后明确应急目的: 病毒、后门清除工作 协助业务系统安全的恢复上线 攻击溯源工作。 通常会存在以下工作内容:病毒分析处置、业务恢复、安全加固、溯源分析、临时需求处置、产品对接与使用、应急指挥与协调。 二、技术部分 1. \Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion 检查方法: 运行 — systeminfo查看系统信息; Shift后门排查使用OD 分析C:\WINDOWS\system32\dllcache\sethc.exe; 对于一些windows常见的持久化痕迹基本都很明显
1.7K41发布于 2019-06-03 - 来自专栏Timeline Sec
HW防守 | Windows应急响应基础
常见的应急响应事件分类: web入侵:网页挂马、主页篡改、Webshell 系统入侵:病毒木马、勒索软件、远控后门 网络攻击:DDOS攻击、DNS劫持、ARP欺骗 入侵排查思路 web入侵:对中间价日志进行分析 主机的会话 4779:断开到一台 Windows 主机的会话 ? ,如:admin$) 4、结合日志,查看管理员登录时间、用户名是否存在异常。 b、导出Windows日志--安全,利用Log Parser进行分析。 \System32\Tasks\ C:\Windows\SysWOW64\Tasks\ C:\Windows\tasks\ *.job(指文件) 8、查看可疑目录及文件 查看 host : type
1.6K40发布于 2020-06-04 - 来自专栏一己之见安全团队
应急响应篇——Windows进程排查
Windows的进程排查比较复杂,所以放在前面来先讲。 正经来说Windows进程在任务管理器这看↓(结尾附上windows白进程,也就是系统自带进程供大家参考,排查时可以优先去除掉非敏感非可利用部分,提高效率): 图片内容不重要,重要的是那么多进程,如何排查出可疑进程呢 敏感进程(cmd这种肯定不用说了,注意排查一些敏感路径下的调用,system32这种)列出windows敏感路径供大家参考: C:\Windows\system.ini C:\windows\system32 \drivers\etc\hosts C:\boot.ini //查看系统版本 C:\Windows\System32\inetsrv\MetaBase.xml //IIS配置文件 C:\Windows Wuauclt.exe cvpnd.exe wuaudt.exe ddhelp.exe WUCrtUpd.exe dfssvc.exe 1xconfig.exe dllhost.exe 3dm2.exe dos4gw.exe
1.1K10编辑于 2024-06-05 - 来自专栏Ms08067安全实验室
GetInfo windows应急响应信息采集工具
GetInfo介绍 快速收集 Windows 相关信息,为应急响应争取更多的时间 Windows Emergency Response (应急响应信息采集) Windows information
1.4K40编辑于 2022-09-26 - 来自专栏漫流砂
服务隐藏与排查 | Windows 应急响应
XblGameSave" 可以看到,常规检查的时候,无法直接看到 XblGameSave 通过 sc query 指定名称查找显示的是 拒绝访问 通过 sc qc 指定名称查找能够显示出正常内容 如果常规方式看不到,应急响应人员也无法知晓该活动的名称 PowerShell Get-Service | findstr "XblGameSave" Get-Service -Name "XblGameSave" 指定名称查询都显示找不到任何服务 4. wmic 10.211.55.6 set lport 4455 exploit 服务已经正常启动,关闭连接,重启受害服务器,无用户登录状态下再次尝试连接 再次获取 shell,服务自启动没问题 4. Windows API 如果 Windows API 呢 #include <iostream> #include <windows.h> #include <winsvc.h> int main() API 获取不到,即使是 SYSTEM 权限也查询不到 4. sc sc 的命令报错意味着其实 sc 是可以知道 test 的存在的 但是这里有个问题 一种情况是 sc 能够获取到服务列表,之后查询
1.2K10编辑于 2024-01-19 - 来自专栏漫流砂
常规安全检查阶段 | Windows 应急响应
命令行常规情况下是不区分大小写的,因此大小写都可以 0x00 杀毒软件 如果应急响应过程中允许,使用杀毒程序进行全盘杀毒肯定非常有帮助的,目前很多企业都有自己的终端管控程序,其中部分自带病毒库和杀毒功能 隐藏计划任务排查 如果上面的方法你都找不到计划任务,可以参考我们的文章 《计划任务的攻防战 | Window 应急响应》 https://mp.weixin.qq.com/s/y9_9P6ggxGMrdGMFT-I34A 需要安装,然后设置编写查询命令,也并不适用很多应急场景。 " "user32"="user32.dll" "WLDAP32"="WLDAP32.dll" "WS2_32"="WS2_32.dll" 应急响应过程中可以看看是否有缺少的 0x19 WMI 排查 事件订阅效果都会立即消失 所以 Autoruns 删除消费者是有效的,而且是一种相对合理的方式,因为如何直接将三者均删掉,可能过滤器和绑定原本就是运维人员需要的,只是消费者被篡改了,这样可以保护过滤器和绑定 所以应急响应过程中
3.3K10编辑于 2024-02-05 - 来自专栏FreeBuf
应急响应之windows入侵排查篇
应急响应(Incident Response Service,IRS)是当企业系统遭受病毒传播、网络攻击、黑客入侵等安全事件导致信息业务中断、系统宕机、网络瘫痪,数据丢失、企业声誉受损,并对组织和业务运行产生直接或间接的负面影响时 可以重点观察以下内容: 1、没有签名验证信息的进程 2、没有描述信息的进程 3、进程的属主 4、进程的路径是否合法 5、CPU 或内存资源占用长时间过高的进程 三、检查启动项、计划任务和服务 启动项、计划任务 检查方法4: 利用安全软件查看启动项、开机时间管理等。 重点关注windows\system32的sethc.exe是否被替换为cmd程序 检查方法4: 针对回收站、浏览器下载目录以及历史记录进行排查 (三)查看隐藏文件 检查方法1: 1、在桌面打开运行 0x03 总结 我们在做应急响应时还是需要多从攻击者的角度去思考问题,知己知彼方能百战不殆,那么针对windows系统的入侵排查就介绍到这里,欢迎各位大佬在评论区留言。
2.7K31发布于 2021-09-16 - 来自专栏漫流砂
ICMPDNS 隧道处置方法 | Windows 应急响应
它是之前Windows平台上的网络抓包工具Network Monitor的后续产品,功能更为强大和全面。 2019年11月25日从官网删除了该软件包 https://learn.microsoft.com/en-us/openspecs/blog/ms-winintbloglp/dd98b93c-0a75-4eb0 Wireshark 也可以做到,现在我们看看能不能找到进程id 默认好像看不出什么,就是分析了 ICMP 数据包,我们点击上方的 Tools 调出其他 details 界面 成功找到进程id以及对应的启动命令 4. 自带的工具 netsh 来帮助我们找出 Windows 上的 icmp 隧道 2. 这需要 etl2pcapng.exe https://github.com/microsoft/etl2pcapng 命令非常简单 etl2pcapng.exe in.etl out.pcapng 4.
1K10编辑于 2024-07-01 - 来自专栏红队蓝军
应急响应--windows入侵检查思路及流程
什么时候做应急响应 服务器被入侵,业务出现蠕虫事件,用户以及公司员工被钓鱼攻击,业务被 DDoS 攻击,核心业务出现DNS、链路劫持攻击等等 如何做应急响应 确定攻击时间 查找攻击线索 梳理攻击流程 实施解决方案 定位攻击者 常见应急响应事件分类 web入侵:网页挂马、主页篡改、Webshell 系统入侵:病毒木马、勒索软件、远控后门、系统异常、RDP爆破、SSH爆破、主机漏洞、数据库入侵等 网络攻击:DDOS 4、查看组策略,运行gpedit.msc 检查计划任务 1、单击【开始】>【设置】>【控制面板】>【任务计划程序】,查看计划任务属性,便可以发现木马文件的路径。 服务自启动 输入 services.msc,注意服务状态和启动类型,检查是否有异常服务 4、事件日志 Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。 4727,4737,4739,4762 表示当用户组发生添加、删除时或组内添加成员时生成该事件 设置Setup 1,2,3,4,用来查看windows系统更新的记录,事件ID前后顺序为“已挂起、已安装
1.4K11编辑于 2024-08-01 - 来自专栏世荣的博客
Windows应急响应Day3:勒索病毒
应急场景 某天早上,管理员打开OA系统,首页异常,显示乱码: image.png 事件分析 登录网站服务器进行排查,在站点目录下面发现所有脚本文件及附件都被加密为.sage结尾的文件,每个文件夹下面都有一个
48120编辑于 2022-03-21 - 来自专栏安全小圈
应急响应篇_windows端口与进程排查
netstat -ano | findstr “ESTABLISHED” 获取正在链接的IP地址和进程信息
69020发布于 2020-05-26 - 来自专栏世荣的博客
Windows应急响应Day2:蠕虫病毒
应急场景 某天早上:管理员在出口防火墙发现内网服务器不断向外境IP发起主动连接,内网环境无法连通外网。 事件分析 在出口防火墙看到的服务器内网IP。 通过端口异常,跟踪进程ID,可以找到该异常由svchost.exe windows服务主进程引起,svchost.exe向大量远程IP的445端口发送请求。 2.定期对windows系统漏洞进行修复,不给病毒可乘之机。
1.4K20编辑于 2022-03-21
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号