- 综合排序
- 最热优先
- 最新优先
- 来自专栏应急响应
Windows应急响应
2024年7月25日10点25分,用户反馈出现失陷主机异常,2024年7月26日10点30分,用户反馈蛀虫占用CPU过高,运行异常
83210编辑于 2024-08-13 - 来自专栏坐看云起时
windows应急响应
Windows的应急 学习过程中看到师傅文章,所以顺便做了个思维导图 师傅太强了 原文链接已放文末。 常见的应急响应事件分类。 web入侵 网页挂马 主页篡改 webshell 系统入侵 病毒木马 勒索病毒 远控木马 网络攻击 ddos dns劫持 arp欺骗 windows 查看Windows服务所对应的端口: %system%/system32/drivers/etc/services (一般%system%就是C:\Windows) Tips:当我们通过第3步确定落地文件之后 \SOFTWARE\Micorsoft\Windows\CurrentVersion\RunOnce检查右侧是否有启动异常的项目,有则删除,并建议安装杀毒软件进行病毒查杀,清除残留病毒或木马。 年份的末两位数字+月份+日期+.log 4、Nginx 日志存储路径在Nginx配置文件中,其中: Access_log变量规定了日志存放路径与名字,以及日志格式名称,默认值"access_log" 5、
2.4K30编辑于 2023-05-09 - 来自专栏红蓝对抗
Windows应急响应
web入侵:Webshell,网页挂马,主页篡改系统入侵:病毒木马,远控后门,勒索软件网络攻击:ARP欺骗,DDOS攻击,DNS劫持针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 但是,在一次被入侵成功的安全事件,我们肯定需要一系列分析溯源,尽可能把整个事件还原,还需要出个应急响应报告的。 入侵排查思路 检查系统账号安全 检查异常端口、进程 检查启动项、计划任务、服务 检查系统相关信息 杀软查杀 日志分析 处置流程: 准备阶段:获取整个事件的信息(比如发生时间,出现啥异常等),准备应急响应相关工具 可进行断网,防火墙策略隔离,关键数据备份,数据恢复 检测阶段:技术分析 取证阶段:确定攻击事件,确定攻击时间,确定攻击过程,确认攻击对象 处置阶段:提出安全问题,提出解决方案,业务恢复 总结阶段:完整应急响应事件报告编写 重要的资料一定要备份,谨防资料丢失 5、强化网络安全意识,陌生链接不点击,陌生文件不要下载,陌生邮件不要打开 后门 我们在这里使用CS上线机器,进行演示。 这里可以知道,机器已经上线。
2.6K21编辑于 2022-06-30 - 来自专栏FreeBuf
说说Windows安全应急响应
比如Facebook泄露的8700万用户数据、前程无忧招聘网站求职信息的泄露、华住下多个连锁酒店5亿信息泄露、万豪喜达屋用户信息泄露等。 由此可见,数据经济时代,数据越来越走向利益化的边缘。 说了这么多下面小白浅谈一下应急响应,我们看一下windows应急处理。 Windows安全应急处置 攻击者入侵一个网站必然会对企业的业务系统造成不同程度的损害,即使入侵不成功,也会使业务系统访问缓慢,即使在网络良好的情况下。 下面我们可以从以下几个方面进行排查windows主机。 1) 是否有异常进程、用户 2) 敏感端口开放情况 3) 密码强度 4) 日志分析 5)异常启动项、服务、计划任务 6) 注册表信息 7) 其它 进程信息 我们输入tasklis或者打开任务管理器查看进程信息
3.6K20发布于 2019-08-26 - 来自专栏黑客编程
Windows应急响应-异常资源
原文:助安社区-应急响应实战指南 http://security-incident-respons.secself.com端口检查端口连接情况,是否有远程连接、可疑连接。 查看进程对应的程序位置:任务管理器 -- 选择对应进程 -- 右键打开文件位置运行输入 wmic,cmd 界面输入 `process`tasklist /svc 进程 -- PID -- 服务查看Windows 服务所对应的端口:%systemroot%/system32/drivers/etc/services(一般 %systemroot% 就是 C:\Windows 路径)图片图片
75010编辑于 2023-04-21 - 来自专栏渗透云笔记
应急响应之Windows、Linux
Windows下系统应急: 首先 断网~ 一、检测阶段 1. 备份Web页面 ? 2. 查找隐藏账户 ? 3. 查找可疑进程 ? ? ? 4. 查杀Webshell ? 5. 5.根除阶段 (1)修改服务器超级管理员账户密码 (2)修改网站后台管理员账户密码 (3)修复漏洞 (4)更改后台地址 6.接入网络恢复访问 Linux下系统应急: 首先 断网~ 一、 检测阶段 1. 5. 查看登录信息 ? 6. 检查内核后门 ? 7. 查找Webshell (1) docker cp /home/test/桌面/hm xxx:/var/www. 2.更改网站后台账户密码 3.修复漏洞 4.更改网站后台地址 5.重新接入网络
1.5K10发布于 2019-12-17 - 来自专栏Bypass
【应急响应】windows入侵排查思路
常见的应急响应事件分类: web入侵:网页挂马、主页篡改、Webshell 系统入侵:病毒木马、勒索软件、远控后门 网络攻击:DDOS攻击、DNS劫持、ARP欺骗 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法 b、导出Windows日志--安全,利用Log Parser进行分析。 ? 二、检查异常端口、进程 1、检查端口连接情况,是否有远程连接、可疑连接。 c、单击【开始】>【运行】,输入 regedit,打开注册表,查看开机启动项是否正常,特别注意如下三个注册表项: HKEY_CURRENT_USER\software\micorsoft\windows \currentversion\run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE 更新病毒库) 火绒安全软件:https://www.huorong.cn 360杀毒:http://sd.360.cn/download_center.html 病毒动态: CVERC-国家计算机病毒应急处理中心
3.1K30发布于 2019-07-08 - 来自专栏Timeline Sec
HW防守 | Windows应急响应基础
常见的应急响应事件分类: web入侵:网页挂马、主页篡改、Webshell 系统入侵:病毒木马、勒索软件、远控后门 网络攻击:DDOS攻击、DNS劫持、ARP欺骗 入侵排查思路 web入侵:对中间价日志进行分析 主机的会话 4779:断开到一台 Windows 主机的会话 ? b、导出Windows日志--安全,利用Log Parser进行分析。 LogParser.exe -i:EVT -o:DATAGRID "SELECT TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as username , 17, '|') AS ProcessName,EXTRACT_TOKEN(Strings, 18, '|') AS SourceIP FROM 日志位置 where EventID=4624" 5、
1.6K40发布于 2020-06-04 - 来自专栏FreeBuf
应急响应处置流程Windows篇
文档在自己的文件夹静静的躺了快半年了,好吧,先把应急响应流程步骤(乙方视角)和windows拆出来,在进行应急响应事件处置时需严格遵守公司的应急响应制度。 在确认安全事件后明确应急目的: 病毒、后门清除工作 协助业务系统安全的恢复上线 攻击溯源工作。 通常会存在以下工作内容:病毒分析处置、业务恢复、安全加固、溯源分析、临时需求处置、产品对接与使用、应急指挥与协调。 二、技术部分 1. \Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion 检查方法: 运行 — systeminfo查看系统信息; Shift后门排查使用OD 分析C:\WINDOWS\system32\dllcache\sethc.exe; 对于一些windows常见的持久化痕迹基本都很明显
1.7K41发布于 2019-06-03 - 来自专栏一己之见安全团队
应急响应篇——Windows进程排查
Windows的进程排查比较复杂,所以放在前面来先讲。 正经来说Windows进程在任务管理器这看↓(结尾附上windows白进程,也就是系统自带进程供大家参考,排查时可以优先去除掉非敏感非可利用部分,提高效率): 图片内容不重要,重要的是那么多进程,如何排查出可疑进程呢 敏感进程(cmd这种肯定不用说了,注意排查一些敏感路径下的调用,system32这种)列出windows敏感路径供大家参考: C:\Windows\system.ini C:\windows\system32 distribute.pc_search_result.none-task-blog-2~all~sobaiduend~default-1-53609608-null-null.142^v100^pc_search_result_base5& utm_term=%E5%B8%B8%E8%A7%81%E6%9C%A8%E9%A9%AC%E7%AB%AF%E5%8F%A3&spm=1018.2226.3001.4187 大家自行前往。
1.1K10编辑于 2024-06-05 - 来自专栏我的安全视界观
【应急能力提升5】应急响应报告点评
本文为整个专题的第五篇,前面完成了方案设计、攻击模拟、应急响应,接下来是对应急响应过程及结果进行点评,在每一个“模拟-应急”之后,组织参与人员提交应急响应报告,由红队组长、防护组长、运营组长和aerfa 在一期模拟(从SQLi攻击到挖矿与权限维持专题)中,收到5份应急响应报告;二期模拟(内网Linux与Windows横向漏洞攻击),增加了2个小组,收到8份报告(有一个小组写了2份报告,最短都是20+页, 由于本次专项针对的是应急响应实战能力,故从以下三个方面来进行评估: 应急响应步骤与方法:考量应急响应人员掌握应急方法、流程与思路的实际情况,在应急场景中十分重要。 02 — 应急捕获攻击点对比表 第I期模拟后,评委拿着5个小组的应急响应报告进行阅读,虽说报告模板格式统一,但是交上来的内容和质量不一,更别提某个攻击细节的分析了。 03 — 应急响应评分要点表 表格中的其他项,不都是针对应急响应的考核。
68130编辑于 2022-12-20 - 来自专栏Ms08067安全实验室
GetInfo windows应急响应信息采集工具
GetInfo介绍 快速收集 Windows 相关信息,为应急响应争取更多的时间 Windows Emergency Response (应急响应信息采集) Windows information
1.4K40编辑于 2022-09-26 - 来自专栏漫流砂
服务隐藏与排查 | Windows 应急响应
XblGameSave" 可以看到,常规检查的时候,无法直接看到 XblGameSave 通过 sc query 指定名称查找显示的是 拒绝访问 通过 sc qc 指定名称查找能够显示出正常内容 如果常规方式看不到,应急响应人员也无法知晓该活动的名称 | findstr "XblGameSave" wmic service where "Name='XblGameSave'" get Name, DisplayName, Description 5. where ProcessId=2216 get Name, ExecutablePath, CommandLine /format:list 这样看来 exe-service 生成的是一个 dll 文件 5. Windows API 如果 Windows API 呢 #include <iostream> #include <windows.h> #include <winsvc.h> int main() 并不开源,我们无法直接知道 sc 到底是怎么做的 5.
1.2K10编辑于 2024-01-19 - 来自专栏漫流砂
常规安全检查阶段 | Windows 应急响应
命令行常规情况下是不区分大小写的,因此大小写都可以 0x00 杀毒软件 如果应急响应过程中允许,使用杀毒程序进行全盘杀毒肯定非常有帮助的,目前很多企业都有自己的终端管控程序,其中部分自带病毒库和杀毒功能 隐藏计划任务排查 如果上面的方法你都找不到计划任务,可以参考我们的文章 《计划任务的攻防战 | Window 应急响应》 https://mp.weixin.qq.com/s/y9_9P6ggxGMrdGMFT-I34A 需要安装,然后设置编写查询命令,也并不适用很多应急场景。 SHELL32.dll" "SHLWAPI"="SHLWAPI.dll" "user32"="user32.dll" "WLDAP32"="WLDAP32.dll" "WS2_32"="WS2_32.dll" 应急响应过程中可以看看是否有缺少的 事件订阅效果都会立即消失 所以 Autoruns 删除消费者是有效的,而且是一种相对合理的方式,因为如何直接将三者均删掉,可能过滤器和绑定原本就是运维人员需要的,只是消费者被篡改了,这样可以保护过滤器和绑定 所以应急响应过程中
3.3K10编辑于 2024-02-05 - 来自专栏FreeBuf
应急响应之windows入侵排查篇
应急响应(Incident Response Service,IRS)是当企业系统遭受病毒传播、网络攻击、黑客入侵等安全事件导致信息业务中断、系统宕机、网络瘫痪,数据丢失、企业声誉受损,并对组织和业务运行产生直接或间接的负面影响时 administrator),将权限勾选为完全控制,然后确定并关闭注册表编辑器 4、再次打开注册表编辑器,即可选择 HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users 5、 可以重点观察以下内容: 1、没有签名验证信息的进程 2、没有描述信息的进程 3、进程的属主 4、进程的路径是否合法 5、CPU 或内存资源占用长时间过高的进程 三、检查启动项、计划任务和服务 启动项、计划任务 检查方法5: 在桌面打开运行(可使用快捷键 win+R),输入 gpedit.msc 查看组策略 (二)排查计划任务 检查方法1: 1、在桌面打开运行(可使用快捷键 win+R),输入 control 0x03 总结 我们在做应急响应时还是需要多从攻击者的角度去思考问题,知己知彼方能百战不殆,那么针对windows系统的入侵排查就介绍到这里,欢迎各位大佬在评论区留言。
2.7K31发布于 2021-09-16 - 来自专栏漫流砂
ICMPDNS 隧道处置方法 | Windows 应急响应
它是之前Windows平台上的网络抓包工具Network Monitor的后续产品,功能更为强大和全面。 跨平台支持:虽然主要是针对Windows平台设计,但MMA在一定程度上也支持跨平台网络分析,增强了其在多环境下的适用性。 Windows防火墙管理:允许用户创建、修改或删除防火墙规则,以及查看防火墙的状态和配置。 IPSec配置:支持配置IPSec策略,用于保护网络通信的安全。 HTTP代理和监听配置:在支持的Windows版本中,可以配置HTTP代理设置和监听器,用于应用层的网络请求处理。 自带的工具 netsh 来帮助我们找出 Windows 上的 icmp 隧道 2.
1K10编辑于 2024-07-01 - 来自专栏红队蓝军
应急响应--windows入侵检查思路及流程
什么时候做应急响应 服务器被入侵,业务出现蠕虫事件,用户以及公司员工被钓鱼攻击,业务被 DDoS 攻击,核心业务出现DNS、链路劫持攻击等等 如何做应急响应 确定攻击时间 查找攻击线索 梳理攻击流程 实施解决方案 定位攻击者 常见应急响应事件分类 web入侵:网页挂马、主页篡改、Webshell 系统入侵:病毒木马、勒索软件、远控后门、系统异常、RDP爆破、SSH爆破、主机漏洞、数据库入侵等 网络攻击:DDOS 关闭注册表编辑器; 4)再次打开注册表编辑器,即可选择HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users; 5)在 Names 项下可以看到实例所有用户名, \Software\Microsoft\Windows\CurrentVersion\Runonce 检查右侧是否有启动异常的项目,如有删除,并安装杀毒软件进行病毒查杀,清除残留病毒或木马。 **事件ID3,更新错误或失败是重点查看对象** 5、系统相关信息 系统版本、补丁信息 打开CMD,输入 systeminfo,查看系统信息 查找可疑目录或文件 1、 查看是否有新建用户目录,新建账号会在
1.4K11编辑于 2024-08-01 - 来自专栏世荣的博客
Windows应急响应Day3:勒索病毒
应急场景 某天早上,管理员打开OA系统,首页异常,显示乱码: image.png 事件分析 登录网站服务器进行排查,在站点目录下面发现所有脚本文件及附件都被加密为.sage结尾的文件,每个文件夹下面都有一个
48120编辑于 2022-03-21 - 来自专栏安全小圈
应急响应篇_windows端口与进程排查
netstat -ano | findstr “ESTABLISHED” 获取正在链接的IP地址和进程信息
69020发布于 2020-05-26 - 来自专栏世荣的博客
Windows应急响应Day2:蠕虫病毒
应急场景 某天早上:管理员在出口防火墙发现内网服务器不断向外境IP发起主动连接,内网环境无法连通外网。 事件分析 在出口防火墙看到的服务器内网IP。 通过端口异常,跟踪进程ID,可以找到该异常由svchost.exe windows服务主进程引起,svchost.exe向大量远程IP的445端口发送请求。 2.定期对windows系统漏洞进行修复,不给病毒可乘之机。
1.4K20编辑于 2022-03-21
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号