- 综合排序
- 最热优先
- 最新优先
- 来自专栏应急响应
Windows应急响应
2024年7月25日10点25分,用户反馈出现失陷主机异常,2024年7月26日10点30分,用户反馈蛀虫占用CPU过高,运行异常
80710编辑于 2024-08-13 - 来自专栏坐看云起时
windows应急响应
Windows的应急 学习过程中看到师傅文章,所以顺便做了个思维导图 师傅太强了 原文链接已放文末。 常见的应急响应事件分类。 web入侵 网页挂马 主页篡改 webshell 系统入侵 病毒木马 勒索病毒 远控木马 网络攻击 ddos dns劫持 arp欺骗 windows 导出Windows日志--安全,利用Log Parser进行分析 1.2 检查异常端口、进程 netstat -ano 查看目前的网络连接,定位可疑的ESTABLISHED状态 根据netstat 查看Windows服务所对应的端口: %system%/system32/drivers/etc/services (一般%system%就是C:\Windows) Tips:当我们通过第3步确定落地文件之后 \SOFTWARE\Micorsoft\Windows\CurrentVersion\RunOnce检查右侧是否有启动异常的项目,有则删除,并建议安装杀毒软件进行病毒查杀,清除残留病毒或木马。
2.2K30编辑于 2023-05-09 - 来自专栏红蓝对抗
Windows应急响应
web入侵:Webshell,网页挂马,主页篡改系统入侵:病毒木马,远控后门,勒索软件网络攻击:ARP欺骗,DDOS攻击,DNS劫持针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 但是,在一次被入侵成功的安全事件,我们肯定需要一系列分析溯源,尽可能把整个事件还原,还需要出个应急响应报告的。 入侵排查思路 检查系统账号安全 检查异常端口、进程 检查启动项、计划任务、服务 检查系统相关信息 杀软查杀 日志分析 处置流程: 准备阶段:获取整个事件的信息(比如发生时间,出现啥异常等),准备应急响应相关工具 可进行断网,防火墙策略隔离,关键数据备份,数据恢复 检测阶段:技术分析 取证阶段:确定攻击事件,确定攻击时间,确定攻击过程,确认攻击对象 处置阶段:提出安全问题,提出解决方案,业务恢复 总结阶段:完整应急响应事件报告编写 爆破 爆破事件一般通过一些协议爆破,Windows爆破RDP协议,Linux爆破SSH协议,通过远程爆破口令,来连接你的对应端口服务,以至于控制你的服务器,这都是常用的攻击手段。
2.6K21编辑于 2022-06-30 - 来自专栏FreeBuf
说说Windows安全应急响应
在互联网高速发展的时代,我们应该如何保护个人信息不被窃取、不被不法分子当作利益的筹码,当我们遇到入侵事件的时候,我们应该怎么办,第一步怎么办,怎么推进排查过程、是否有应急预案等,这都是我们需要了解的。 说了这么多下面小白浅谈一下应急响应,我们看一下windows应急处理。 Windows安全应急处置 攻击者入侵一个网站必然会对企业的业务系统造成不同程度的损害,即使入侵不成功,也会使业务系统访问缓慢,即使在网络良好的情况下。 下面我们可以从以下几个方面进行排查windows主机。 对于 Windows 事件日志分析,不同的 EVENT ID 代表了不同的意义,摘录一些常见的安全事件的说明: ?
3.6K20发布于 2019-08-26 - 来自专栏黑客编程
Windows应急响应-异常资源
原文:助安社区-应急响应实战指南 http://security-incident-respons.secself.com端口检查端口连接情况,是否有远程连接、可疑连接。 查看进程对应的程序位置:任务管理器 -- 选择对应进程 -- 右键打开文件位置运行输入 wmic,cmd 界面输入 `process`tasklist /svc 进程 -- PID -- 服务查看Windows 服务所对应的端口:%systemroot%/system32/drivers/etc/services(一般 %systemroot% 就是 C:\Windows 路径)图片图片
73410编辑于 2023-04-21 - 来自专栏渗透云笔记
应急响应之Windows、Linux
Windows下系统应急: 首先 断网~ 一、检测阶段 1. 备份Web页面 ? 2. 查找隐藏账户 ? 3. 查找可疑进程 ? ? ? 4. 查杀Webshell ? 5. 5.根除阶段 (1)修改服务器超级管理员账户密码 (2)修改网站后台管理员账户密码 (3)修复漏洞 (4)更改后台地址 6.接入网络恢复访问 Linux下系统应急: 首先 断网~ 一、 检测阶段 1.
1.5K10发布于 2019-12-17 - 来自专栏Bypass
【应急响应】windows入侵排查思路
常见的应急响应事件分类: web入侵:网页挂马、主页篡改、Webshell 系统入侵:病毒木马、勒索软件、远控后门 网络攻击:DDOS攻击、DNS劫持、ARP欺骗 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法 b、导出Windows日志--安全,利用Log Parser进行分析。 ? 二、检查异常端口、进程 1、检查端口连接情况,是否有远程连接、可疑连接。 c、单击【开始】>【运行】,输入 regedit,打开注册表,查看开机启动项是否正常,特别注意如下三个注册表项: HKEY_CURRENT_USER\software\micorsoft\windows \currentversion\run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE 更新病毒库) 火绒安全软件:https://www.huorong.cn 360杀毒:http://sd.360.cn/download_center.html 病毒动态: CVERC-国家计算机病毒应急处理中心
3.1K30发布于 2019-07-08 - 来自专栏Timeline Sec
HW防守 | Windows应急响应基础
常见的应急响应事件分类: web入侵:网页挂马、主页篡改、Webshell 系统入侵:病毒木马、勒索软件、远控后门 网络攻击:DDOS攻击、DNS劫持、ARP欺骗 入侵排查思路 web入侵:对中间价日志进行分析 主机的会话 4779:断开到一台 Windows 主机的会话 ? b、使用D盾_web查杀工具,集成了对克隆账号检测的功能 c.windows账号信息,隐藏账号 【开始】➜【运行】➜【compmgmt.msc】➜【本地用户和组】➜【用户】 (用户名以$结尾的为隐藏用户 b、导出Windows日志--安全,利用Log Parser进行分析。 \System32\Tasks\ C:\Windows\SysWOW64\Tasks\ C:\Windows\tasks\ *.job(指文件) 8、查看可疑目录及文件 查看 host : type
1.6K40发布于 2020-06-04 - 来自专栏FreeBuf
应急响应处置流程Windows篇
文档在自己的文件夹静静的躺了快半年了,好吧,先把应急响应流程步骤(乙方视角)和windows拆出来,在进行应急响应事件处置时需严格遵守公司的应急响应制度。 在确认安全事件后明确应急目的: 病毒、后门清除工作 协助业务系统安全的恢复上线 攻击溯源工作。 通常会存在以下工作内容:病毒分析处置、业务恢复、安全加固、溯源分析、临时需求处置、产品对接与使用、应急指挥与协调。 二、技术部分 1. \Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion 检查方法: 运行 — systeminfo查看系统信息; Shift后门排查使用OD 分析C:\WINDOWS\system32\dllcache\sethc.exe; 对于一些windows常见的持久化痕迹基本都很明显
1.7K41发布于 2019-06-03 - 来自专栏一己之见安全团队
应急响应篇——Windows进程排查
Windows的进程排查比较复杂,所以放在前面来先讲。 正经来说Windows进程在任务管理器这看↓(结尾附上windows白进程,也就是系统自带进程供大家参考,排查时可以优先去除掉非敏感非可利用部分,提高效率): 图片内容不重要,重要的是那么多进程,如何排查出可疑进程呢 下图是我开了冰蝎随便执行几个命令后的进程截图,这个工具是Process Explorer,推荐大家看看,windows查进程很方便。 敏感进程(cmd这种肯定不用说了,注意排查一些敏感路径下的调用,system32这种)列出windows敏感路径供大家参考: C:\Windows\system.ini C:\windows\system32 \drivers\etc\hosts C:\boot.ini //查看系统版本 C:\Windows\System32\inetsrv\MetaBase.xml //IIS配置文件 C:\Windows
1K10编辑于 2024-06-05 - 来自专栏漫流砂
服务隐藏与排查 | Windows 应急响应
/win32/secauthz/security-descriptor-string-format https://learn.microsoft.com/zh-cn/windows/win32/secauthz /ace-strings https://learn.microsoft.com/zh-cn/windows/win32/services/service-security-and-access-rights XblGameSave" 可以看到,常规检查的时候,无法直接看到 XblGameSave 通过 sc query 指定名称查找显示的是 拒绝访问 通过 sc qc 指定名称查找能够显示出正常内容 如果常规方式看不到,应急响应人员也无法知晓该活动的名称 日志查询 通过日志 Windows 日志 -> 系统 其中来源为 Service Control Manager 的日志会记录服务的创建与执行 3. Windows API 如果 Windows API 呢 #include <iostream> #include <windows.h> #include <winsvc.h> int main()
1.1K10编辑于 2024-01-19 - 来自专栏Ms08067安全实验室
GetInfo windows应急响应信息采集工具
GetInfo介绍 快速收集 Windows 相关信息,为应急响应争取更多的时间 Windows Emergency Response (应急响应信息采集) Windows information
1.3K40编辑于 2022-09-26 - 来自专栏漫流砂
常规安全检查阶段 | Windows 应急响应
命令行常规情况下是不区分大小写的,因此大小写都可以 0x00 杀毒软件 如果应急响应过程中允许,使用杀毒程序进行全盘杀毒肯定非常有帮助的,目前很多企业都有自己的终端管控程序,其中部分自带病毒库和杀毒功能 隐藏计划任务排查 如果上面的方法你都找不到计划任务,可以参考我们的文章 《计划任务的攻防战 | Window 应急响应》 https://mp.weixin.qq.com/s/y9_9P6ggxGMrdGMFT-I34A 需要安装,然后设置编写查询命令,也并不适用很多应急场景。 SHELL32.dll" "SHLWAPI"="SHLWAPI.dll" "user32"="user32.dll" "WLDAP32"="WLDAP32.dll" "WS2_32"="WS2_32.dll" 应急响应过程中可以看看是否有缺少的 事件订阅效果都会立即消失 所以 Autoruns 删除消费者是有效的,而且是一种相对合理的方式,因为如何直接将三者均删掉,可能过滤器和绑定原本就是运维人员需要的,只是消费者被篡改了,这样可以保护过滤器和绑定 所以应急响应过程中
3.2K10编辑于 2024-02-05 - 来自专栏漫流砂
ICMPDNS 隧道处置方法 | Windows 应急响应
它是之前Windows平台上的网络抓包工具Network Monitor的后续产品,功能更为强大和全面。 跨平台支持:虽然主要是针对Windows平台设计,但MMA在一定程度上也支持跨平台网络分析,增强了其在多环境下的适用性。 Windows防火墙管理:允许用户创建、修改或删除防火墙规则,以及查看防火墙的状态和配置。 IPSec配置:支持配置IPSec策略,用于保护网络通信的安全。 HTTP代理和监听配置:在支持的Windows版本中,可以配置HTTP代理设置和监听器,用于应用层的网络请求处理。 自带的工具 netsh 来帮助我们找出 Windows 上的 icmp 隧道 2.
99010编辑于 2024-07-01 - 来自专栏FreeBuf
应急响应之windows入侵排查篇
应急响应(Incident Response Service,IRS)是当企业系统遭受病毒传播、网络攻击、黑客入侵等安全事件导致信息业务中断、系统宕机、网络瘫痪,数据丢失、企业声誉受损,并对组织和业务运行产生直接或间接的负面影响时 本文主要讨论windows被入侵后的排查思路。 强力推荐windows入侵排查利器:火绒剑 0x01 分析入侵过程 攻击者入侵windows系统往往从弱口令、系统漏洞以及服务漏洞进行切入,获得一个普通的系统权限,再经过提权后进行创建启动项、修改注册表 windows server 2016 下执行 schschtasks windows 7 下执行 at 检查方法3: 利用安全软件查看计划任务。 0x03 总结 我们在做应急响应时还是需要多从攻击者的角度去思考问题,知己知彼方能百战不殆,那么针对windows系统的入侵排查就介绍到这里,欢迎各位大佬在评论区留言。
2.6K31发布于 2021-09-16 - 来自专栏世荣的博客
Windows应急响应Day3:勒索病毒
应急场景 某天早上,管理员打开OA系统,首页异常,显示乱码: image.png 事件分析 登录网站服务器进行排查,在站点目录下面发现所有脚本文件及附件都被加密为.sage结尾的文件,每个文件夹下面都有一个
47820编辑于 2022-03-21 - 来自专栏红队蓝军
应急响应--windows入侵检查思路及流程
什么时候做应急响应 服务器被入侵,业务出现蠕虫事件,用户以及公司员工被钓鱼攻击,业务被 DDoS 攻击,核心业务出现DNS、链路劫持攻击等等 如何做应急响应 确定攻击时间 查找攻击线索 梳理攻击流程 实施解决方案 定位攻击者 常见应急响应事件分类 web入侵:网页挂马、主页篡改、Webshell 系统入侵:病毒木马、勒索软件、远控后门、系统异常、RDP爆破、SSH爆破、主机漏洞、数据库入侵等 网络攻击:DDOS 方法: 1、 打开cmd,输入"eventvwr.msc",回车运行,打开“事件查看器” 2、 导出 Windows 日志 – 安全 3、 用微软官方工具 Log Parser 进行分析 下载地址:https \Software\Microsoft\Windows\CurrentVersion\Runonce 检查右侧是否有启动异常的项目,如有删除,并安装杀毒软件进行病毒查杀,清除残留病毒或木马。 服务自启动 输入 services.msc,注意服务状态和启动类型,检查是否有异常服务 4、事件日志 Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。
1.2K11编辑于 2024-08-01 - 来自专栏安全小圈
应急响应篇_windows端口与进程排查
netstat -ano | findstr “ESTABLISHED” 获取正在链接的IP地址和进程信息
68620发布于 2020-05-26 - 来自专栏世荣的博客
Windows应急响应Day2:蠕虫病毒
应急场景 某天早上:管理员在出口防火墙发现内网服务器不断向外境IP发起主动连接,内网环境无法连通外网。 事件分析 在出口防火墙看到的服务器内网IP。 通过端口异常,跟踪进程ID,可以找到该异常由svchost.exe windows服务主进程引起,svchost.exe向大量远程IP的445端口发送请求。 2.定期对windows系统漏洞进行修复,不给病毒可乘之机。
1.4K20编辑于 2022-03-21 - 来自专栏字节脉搏实验室
应急响应篇_windows端口与进程排查
netstat -ano | findstr “ESTABLISHED” 获取正在链接的IP地址和进程信息
1K21发布于 2020-04-07
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号