应急响应——Windows入侵排查

最新推荐文章于 2026-04-01 15:21:18 发布
原创 最新推荐文章于 2026-04-01 15:21:18 发布 · 2.9k 阅读 · 7
标签
#windows #网络安全

Windows安全应急处置

从以下方面进行排查windows主机

1.是否有异常进程、用户
2.异常的服务、计划任务、启动项
3.注册表信息
4.端口开放情况
5.文件及文件共享
6.防火墙设置
7.异常会话
8.日志
9.其他
10.工具

进程

获取系统上正在运行的所有进程列表,
可以根据以下内容查找可疑进程

CUP、内存占用率长时间过高的进程
没有签名或描述信息的进程
非法路径的进程 进程的属主

也可以使用某些软件,如D盾_web查杀工具,微软的Process Explorer工具等进行排查

##win+r
msinfo32
##软件环境————正在运行的任务

##管理员权限下的cmd
tasklist

##powershell
get-process

##WMIC
wmic process list full

##确定父进程ID、进程名称、进程id
wmic process get name,parentprocessid,processid
tasklist | findstr "572"

在这里插入图片描述

##获取进程路径
wmic process where "processid=4420" get commandline

在这里插入图片描述

用户

1.查找是否存在可疑账号、新增账号,如有新增账号,立即删除过禁用此账号。
可能的话,开启用户账号的操作日志,从日志审计服务器账号信息
产看当前用户的方式:

##win+r
lusrmgr.msc

##管理员权限运行
##cmd
net user

##cmd中将本地或域用户添加、删除出组,创建新组、删除现有组
net localgroup administrators

##PowerShell
Get-LocalUser

2.查看服务器是否存在隐藏账号,克隆账号
有时候攻击者创建的用户被隐藏起来了,通过上述查询并不能查询到隐藏用户,所以我们通过注册表去查询是否具有隐藏账号

##win+r
regedit
注册表中项
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names

##使用D盾——web查杀工具,对克隆账号进行检测

在这里插入图片描述

3.结合日志,查看账户管理、登录事件(具体见下面的日志部分)

服务

确定系统中是否有异常服务运行或某些服务运行不正常

##win+r
services.msc

##cmd
net start
#查看服务是否正在运行并获取更多详细信息,如服务名称、显示名称等
s
最低0.47元/天 解锁文章
Windows安全事件ID汇总
钻石
04-12 1万+
5466 ----- PAStore引擎轮询Active Directory IPsec策略的更改,确定无法访问Active Directory,并将使用Active Directory。5467 ----- PAStore引擎轮询Active Directory IPsec策略的更改,确定可以访问Active Directory,并且未找到对策略的更改。5464 ----- PAStore引擎轮询活动IPsec策略的更改,检测到更改并将其应用于IPsec服务。这可能是由于使用共享部分或其他问题。
【安全服务】应急响应1:流程、排查与分析
kkza的博客
09-08 2万+
一、应急响应流程 应急响应分为六个阶段,分别是 准备 —— 检测 —— 抑制 —— 根除 —— 恢复 —— 总结 这种划分方法也称PDCERF方法 实际上,应急响应并不是严格遵从这个方法的,大多数情况都要具体问题具体分析 1 准备阶段 以预防为主,主要是要进行风险评估等工作,包括建立信息安全管理体系、部署安全设备和安装防护软件、建立应急响应和演练制度等等。 2 检测阶段 这个阶段是在安全事件发生后的,主要是判断安全事件是否还在发生,安全事件产生的原因,对业务的危害程度以及预计如何处理。 ..
日志事件ID
m0_62207482的博客
04-19 2071
日志排查时,通常会根据事件ID搜索日志。4672:新登录的用户被分配管理员权限。4648:使用显式凭证尝试登录。4647:注销远程登录的用户。4634:注销本地登录用户。4732:添加用户到用户组。4733:从组中删除用户。4798:枚举本地用户组。4724:修改用户密码。4734:删除用户组。4738:修改用户账户。4722:启用新用户。4731:创建用户组。4735:安全组更改。
iframe src更改事件检测?_windows安全事件id汇总
weixin_39842955的博客
11-06 812
EVENT_ID 安全事件信息 1100 ----- 事件记录服务已关闭 1101 ----- 审计事件已被运输中断。 1102 ----- 审核日志已清除 1104 ----- 安全日志现已满 1105 ----- 事件日志自动备份 1108 ----- 事件日志记录服务遇到错误 4608 ----- W...
Windows 系统入侵排查实战指南:一步步揪出恶意入侵痕迹
最新发布
weixin_51725318的博客
04-01 315
Windows入侵排查Web入侵:网页挂马、主页篡改、Webshell系统入侵:病毒木马、勒索软件、远控后门网络攻击:DDOS攻击、DNS劫持、ARP欺骗针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Windows服务器入侵排查的思路。事件定性系统主机排查显示关于计算机及其操作系统的详细配置信息,包括操作系统配置、安全信息、产品 ID 和硬件属性,如 RAM、磁盘空间和网卡。进程排查1、登录后,发现CPU100%
应急响应-windows-系统排查
qq_50765147的博客
01-21 1818
系统排查 在进行受害主机排查时,首先要对主机系统进行基本排查,方便对受害主机有一个初步的了解。 系统基本信息 Windows系统 在基础排查时,可以使用Microsoft系统信息工具(Msinfo32.exe),他是Microsoft Windows NT诊断工具(Winmsd.exe)的更新版本。 系统信息工具 在命令行中输入【msinfo32】命令,打开【系统信息】窗口,如图所示,可以显示本地计算机的硬件资源、组件和软件环境的信息。除了各方面的概述信息,还可以对
windows应急响应
weixin_45427650的博客
03-17 1255
资料:https://www.cnblogs.com/bmjoker/p/9483729.html 下面对资料进行整理补充 lusrmgr.msc :打开本地用户的组 eventvwr.msc :打开“事件查看器”。 tasklist | findstr “PID” :进程定位 msinfo32 :打开 “系统信息” services.msc :打开服务 regedit ...
Javascript事件总结
weixin_34050519的博客
05-13 237
Javascript事件总结 一:事件流       事件流描述的是从页面中接收事件的顺序,IE和Netscape提出来差不多完全相反的事件流的概念,IE事件流是事件冒泡流,Netscape事件流是事件捕获流。 事件冒泡      IE的事件流叫做事件冒泡,即事件开始时由最具体的元素(文档中嵌套最深的那个节点)接收,然后逐级向上(一直到文档);如下代码: <div id = "...
网络安全——应急响应Windows入侵排查
提供C#相关开发 、云计算、运维测试、网络安全相关技术分享与服务,有意向可联系。
11-08 1442
网络安全所说的应急响应(Emergency Response)通常是指在突发事件发生后,为了减少损失和危害,迅速采取的一系列应对措施,保护生命财产安全,恢复正常秩序的过程。这里说的突发事件特指:影响系统(包含服务器主机和操作系统、网络范围)正常工作的情况(如:黑客入侵服务器、黑客劫持服务器、病毒爆发、系统异常宕机、应用服务瘫痪、信息窃取、DDOS攻击、网络流量异常等内容)
应急响应Windows 入侵排查
weixin_45997442的博客
04-25 1988
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。常见的应急响应事件分类:Web 入侵:网页挂马、主页篡改、Webshell系统入侵:病毒木马、勒索软件、远控后门网络攻击:DDOS 攻击、DNS 劫持、ARP 欺骗针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 Windows 服务器入侵排查的思路。
Windows系统入侵排查应急响应技术
qq_53058639的博客
03-06 848
本文总结了一些 Windows 操作系统的入侵排查应急响应技术,实际的应急场景中应灵活结合各自排查手段。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)
应急响应windows入侵排查
分享Python知识
11-12 842
我们在做应急响应时还是需要多从攻击者的角度去思考问题,知己知彼方能百战不殆,那么针对windows系统的入侵排查就介绍到这里。
Windows应急响应-入侵排查
weixin_52501704的博客
10-29 2552
应急响应
windows安全事件id汇总_电脑事件id大全,2024最新网络安全面经分享
2401_84434301的博客
04-17 4991
5466 ----- PAStore引擎轮询Active Directory IPsec策略的更改,确定无法访问Active Directory,并将使用Active Directory。5467 ----- PAStore引擎轮询Active Directory IPsec策略的更改,确定可以访问Active Directory,并且未找到对策略的更改。与此攻击相关的数据包将被丢弃。5464 ----- PAStore引擎轮询活动IPsec策略的更改,检测到更改并将其应用于IPsec服务。
Windows Server 2016-Windows安全日志ID汇总
awmqc66006的博客
03-04 1694
Windows常见安全事件日志ID汇总,供大家参考,希望可以帮到大家。 ID 安全事件信息 1100 事件记录服务已关闭 1101 审计事件已被运输中断。 1102 审核日志已清除 1104 安全日志现已满 1105 事件日志自动备份 1108 事件日志记录服务遇到错误 4608 ...
网络安全----应急响应入侵排查
qq_51690690的博客
09-09 2063
一屋不扫何以扫天下?
windows安全事件ID编号解释大全
热门推荐
hanzhen668的博客
09-14 3万+
windows安全事件ID编号解释大全
最新windows安全事件id汇总_电脑事件id大全(1)
2401_84297944的博客
05-02 3722
4647 ----- 用户启动了注销4648 ----- 使用显式凭据尝试登录4649 ----- 检测到重播攻击4650 ----- 建立了IPsec主模式安全关联4651 ----- 建立了IPsec主模式安全关联4652 ----- IPsec主模式协商失败4653 ----- IPsec主模式协商失败4654 ----- IPsec快速模式协商失败4655 ----- IPsec主模式安全关联已结束4656 ----- 请求了对象的句柄。
应急响应主机排查方法
2301_77132421的博客
07-17 2011
主机排查
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值