应急响应 - Windows进程分析,Windows网络分析,tasklist,wmic process

这篇具有很好参考价值的文章主要介绍了应急响应 - Windows进程分析,Windows网络分析,tasklist,wmic process。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

「作者简介」:CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者
「推荐专栏」:对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》

应急响应 - Windows进程分析,Windows网络分析,tasklist,wmic process

一、Tasklist

tasklist命令用来查看计算机上的进程,默认显示所有进程。

应急响应 - Windows进程分析,Windows网络分析,tasklist,wmic process


1、tasklist /v

参数/v,可以显示详细信息,也就是显示所有字段。

应急响应 - Windows进程分析,Windows网络分析,tasklist,wmic process

1、tasklist /svc

参数/svc,可以显示进程和服务的对应关系。

应急响应 - Windows进程分析,Windows网络分析,tasklist,wmic process

参数 /fi 可以过滤,过滤的内容必须用双引号包裹。

例:过滤PID等于13508的进程。

应急响应 - Windows进程分析,Windows网络分析,tasklist,wmic process

例:过滤进程名等于cmd.exe的进程。

应急响应 - Windows进程分析,Windows网络分析,tasklist,wmic process

例:过滤指定用户正在运行的进程。

应急响应 - Windows进程分析,Windows网络分析,tasklist,wmic process

/fi 常用的连接符有:

  • eq:等于
  • nq:不等于
  • gt:大于
  • lt:小于
  • ge:大于等于
  • le:小于等于

2、tasklist /m

参数/m,可以显示进程加载的dll文件。

应急响应 - Windows进程分析,Windows网络分析,tasklist,wmic process

过滤指定dll的调用情况。

应急响应 - Windows进程分析,Windows网络分析,tasklist,wmic process

二、wmic process

wmic process命令用来管理计算机上的进程,默认显示所有列、所有信息。

wmic process有45个字段,比tasklist更加详细。

wimic process默认展示的信息非常混乱,这里输出到文件中查看:

应急响应 - Windows进程分析,Windows网络分析,tasklist,wmic process

第一行是字段名(Caption,CommandLine等 ),第二行开始是内容。

应急响应 - Windows进程分析,Windows网络分析,tasklist,wmic process


1、get

使用get,过滤指定的字段。

比如:只显示 进程名、进程ID、父进程ID这三个字段。

应急响应 - Windows进程分析,Windows网络分析,tasklist,wmic process


2、/format:csv

参数/format用来指定显示的格式,即格式化。

比如:使用vsv格式展示。

应急响应 - Windows进程分析,Windows网络分析,tasklist,wmic process

需要注意的是,格式化必须配合get使用。


3、where

where可以过滤指定字段的内容。

比如:查看 processid等于452的进程。

应急响应 - Windows进程分析,Windows网络分析,tasklist,wmic process

4、call terminate

call terminate可以根据进程名结束指定进程,通常配合 where 使用。

例:结束 name等于notepad++.exe 的恶意进程。

应急响应 - Windows进程分析,Windows网络分析,tasklist,wmic process

5、delete

delete可以根据进程id结束指定进程,通常配合 where 使用。

例:删除 processid等于5300 的恶意进程。

应急响应 - Windows进程分析,Windows网络分析,tasklist,wmic process

三、任务管理器

使用Windows自带的任务管理器查看可疑进程。

应急响应 - Windows进程分析,Windows网络分析,tasklist,wmic process

四、netstat

netstat用来显示网络连接信息。

应急响应 - Windows进程分析,Windows网络分析,tasklist,wmic process

例:过滤443端口

应急响应 - Windows进程分析,Windows网络分析,tasklist,wmic process

常见网络状态(status字段):

  • LISTENING:监听状态
  • ESTABLISHED:建立连接
  • CLOSE_WAIT:对方主动关闭连接或网络异常导致连接中断

文末送书

当今社会,网络结构数据普遍存在于各行各业。如何从这些数据中挖掘出价值,并且解决实际问题,成为学界和业界共同关注的研究方向。 本书共七章。第一章主要讲解为什么关心网络结构数据,介绍了R语言及常用的包,同时整理了常用的网络数据集。第二章介绍了网络结构数据的定义及分类。第三章讲解了网络结构数据的可视化,重点介绍了针对大规模网络的可视化方法及网络的动态交互式可视化。第四章介绍了描述网络特征的各种统计量及重要的网络结构。第五章重点介绍了三种经典的网络结构数据模型,第六章主要介绍了网络结构数据中社区发现的相关概念及方法,并整理了常见的评价指标及标准数据集。第七章介绍了网络结构数据分析中的链路预测问题。

应急响应 - Windows进程分析,Windows网络分析,tasklist,wmic process

本书适合网络结构数据的初学者,国内首本成体系网络结构数据分析与应用教程,填补网络结构数据书籍空白;介绍网络结构数据分析方法,解析网络结构数据实际应用价值,全面掌握网络结构数据知识。文章来源地址https://www.toymoban.com/news/detail-412681.html

到了这里,关于应急响应 - Windows进程分析,Windows网络分析,tasklist,wmic process的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 网络安全从入门到精通(特别篇I):Windows安全事件应急响应之Windows应急响应基础必备技能

    事件发生时的状况或安全设备告警等,能帮助应急处置人员快速分析确定事件类型,方便前期准备。 入侵肯定会留下痕迹,另外重点强调的是不要一上来就各种查查查,问清楚谁在什么时间发现的主机异常情况,异常的现象是什么,受害用户做了什么样的紧急处理。问清楚主

    2024年04月15日
    浏览(55)
  • 【Windows应急响应】HW蓝队必备——开机启动项、临时文件、进程排查、计划任务排查、注册表排查、恶意进程查杀、隐藏账户、webshell查杀等

    近年来信息安全事件频发,信息安全的技能、人才需求大增。现在,不管是普通的企业,还是专业的安全厂商,都不可避免的需要掌握和运用好信息安全的知识、技能,以便在需要的时候,能够御敌千里。所谓养兵千日,用兵一时,拥有一支完善的团队或完整的流程,可以保

    2024年02月02日
    浏览(47)
  • Windows应急响应排查思路,应急响应基础技能

    「作者简介」: CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者 「推荐专栏」: 对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》

    2024年02月01日
    浏览(61)
  • 应急响应-Windows

    前言 作者简介:不知名白帽,网络安全学习者。 博客主页:不知名白帽的博客_CSDN博客-网络安全,CTF,内网渗透领域博主 网络安全交流社区:https://bbs.csdn.net/forums/angluoanquan 目录 常用命令 敏感目录 日志分析 系统日志 安全日志 命令 说明 regedit         注册表 taskmgr       

    2024年02月12日
    浏览(40)
  • Windows快捷命令-应急响应

    前言 作者简介:不知名白帽,网络安全学习者。 博客主页:https://blog.csdn.net/m0_63127854?type=blog 网络安全交流社区:https://bbs.csdn.net/forums/angluoanquan 目录 注意: 操作系统信息 查看操作系统信息 环境变量 账户和组 网卡 进程 计划任务 日志 文件 其他 查找隐藏用户 查找克隆用户

    2024年02月06日
    浏览(41)
  • Windows应急响应小结

    目录 应急响应流程 账户排查 网络排查 进程排查 内存分析 日志分析 PDCERF模型 P(Preparation 准备):信息搜集,工具准备 D(Detection 检测):了解资产现状,明确造成影响,尝试进行攻击路径溯源 C(Containment 遏制):关闭端口、服务,停止进程,拔网线 E(Eradication 根除):

    2024年04月27日
    浏览(37)
  • Windows应急响应排查思路

    「作者简介」: CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者 「推荐专栏」: 对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》

    2023年04月20日
    浏览(43)
  • 应急响应排查思路(Windows篇)

    「作者简介」: CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者 「推荐专栏」: 对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》

    2023年04月19日
    浏览(39)
  • 记一次Windows勒索病毒应急响应实战

    查看本地用户,未发现异常: 打开任务管理器,发现可疑进程F.exe: 利用wmi查看进程信息,发现其位置在开始菜单启动项中: C:UsersgyAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup 同时,通过任务管理器,发现windows临时文件夹中也有该程序 通过测试可知F.exe为勒索病毒程

    2024年02月06日
    浏览(40)
  • 蓝队-应急响应-日志分析

    在日常蓝队进行日志分析的时候,显示将服务器主机日志全都收集起来,然后将日志放到自动识别脚本当中,就能进行自动分析,最后将有异常的ip直接拉黑即可。 下面的工具讲的是日志分析,是在攻击者进行攻击之后才能发现 #日志自动提取脚本—— 七牛Logkit观星应急工具

    2024年02月11日
    浏览(52)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包