应急响应 - Windows启动项分析,Windows计划任务分析,Windows服务分析

这篇具有很好参考价值的文章主要介绍了应急响应 - Windows启动项分析,Windows计划任务分析,Windows服务分析。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

「作者简介」:CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者
「推荐专栏」:对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》

应急响应 - Windows启动项分析,Windows计划任务分析,Windows服务分析

一、启动项分析

很多恶意程序会把自己添加到系统启动项中,在开机时自动运行。

1、msconfig

msconfig是Windows自带的系统配置实用程序,用来管理系统启动项、系统服务等。

WIN + R,输入msconfig,查看启动项中是否有异常的启动项目,有则禁用。

应急响应 - Windows启动项分析,Windows计划任务分析,Windows服务分析

提示:Win10的启动项移动到任务管理器里面了。

2、gpedit.msc

gpedit.msc是Windows自带的本地组策略编辑器,可以查看启动/关机脚本。

WIN + R,输入gpedit.msc,打开本地组策略编辑器。

点击【Windows设置】-【脚本(启动/关机)】-【启动】,查看是否有异常的启动脚本,有则删除。

应急响应 - Windows启动项分析,Windows计划任务分析,Windows服务分析

3、注册表

WIN + R,输入regedit,打开注册表。

1)用户设置的启动项是排查的重点,删除后不影响系统运行。

\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
应急响应 - Windows启动项分析,Windows计划任务分析,Windows服务分析

2)系统设置的启动项,一般是第三方软件的驱动程序,谨慎删除,可能会对系统造成影响。

\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

应急响应 - Windows启动项分析,Windows计划任务分析,Windows服务分析

3)系统启动项,不要随便删除,否则会影响系统的正常运行。

\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run

应急响应 - Windows启动项分析,Windows计划任务分析,Windows服务分析

4、msinfo32

msinfo32是Windows自带的系统信息工具,可以查看系统的启动程序。

WIN + R,输入msinfo32,打开系统信息工具。

点【软件环境】-【启动程序】- 检查右侧启动程序是否有异常程序。

应急响应 - Windows启动项分析,Windows计划任务分析,Windows服务分析

5、启动菜单

左下角【开始】-【所有程序】-【启动】,打开是一个目录,检查里面有没有异常启动项。

二、计划任务分析

很多恶意程序会把自己添加到计划任务中,在固定时间启动。

1、任务计划程序

控制面板里搜计划任务,打开任务计划程序。

应急响应 - Windows启动项分析,Windows计划任务分析,Windows服务分析
或者WIN + R,输入taskschd.msc,打开任务计划程序。

应急响应 - Windows启动项分析,Windows计划任务分析,Windows服务分析

检查是否有异常的计划任务。

2、schtasks

schtasks.exe是计划任务程序的命令执行方式,两者的操作实时同步。

打开cmd,输入schtasks,默认展示所有的计划任务。

应急响应 - Windows启动项分析,Windows计划任务分析,Windows服务分析

三、服务自启动分析

WIN +R,输入services.msc,打开服务工具。

应急响应 - Windows启动项分析,Windows计划任务分析,Windows服务分析

单击启动类型排序,重点查看启动类型为【自动】的服务。文章来源地址https://www.toymoban.com/news/detail-416516.html

到了这里,关于应急响应 - Windows启动项分析,Windows计划任务分析,Windows服务分析的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 应急响应之windows日志分析工具logparser使用

    目录 一、logparser简介 (一)logparser介绍 (二)下载链接 二、logparser安装 三、基本查询结构 四、使用Log Parser分析日志 (一)查询登录成功的事件 1. 登录成功的所有事件 2. 指定登录时间范围的事件 (二)提取登录成功的用户名和IP (三)查询登录失败的事件 1. 登录失败的

    2023年04月09日
    浏览(39)
  • 【安全服务】应急响应1:流程、排查与分析

    目录 一、应急响应流程 1 准备阶段 2 检测阶段 3 抑制阶段 4 根除阶段 5 恢复阶段 6 总结阶段 现场处置流程 二、系统排查 1、系统信息 2、用户信息 3 启动项 4 任务计划 5 其他:Windows防火墙规则  三、进程排查 1 windows 1.1 任务管理器 1.2 cmd tasklist 1.3 查看正在进行网络连接的进

    2024年02月08日
    浏览(38)
  • Windows应急响应排查思路,应急响应基础技能

    「作者简介」: CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者 「推荐专栏」: 对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》

    2024年02月01日
    浏览(61)
  • 网络安全从入门到精通(特别篇I):Windows安全事件应急响应之Windows应急响应基础必备技能

    事件发生时的状况或安全设备告警等,能帮助应急处置人员快速分析确定事件类型,方便前期准备。 入侵肯定会留下痕迹,另外重点强调的是不要一上来就各种查查查,问清楚谁在什么时间发现的主机异常情况,异常的现象是什么,受害用户做了什么样的紧急处理。问清楚主

    2024年04月15日
    浏览(55)
  • 应急响应-Windows

    前言 作者简介:不知名白帽,网络安全学习者。 博客主页:不知名白帽的博客_CSDN博客-网络安全,CTF,内网渗透领域博主 网络安全交流社区:https://bbs.csdn.net/forums/angluoanquan 目录 常用命令 敏感目录 日志分析 系统日志 安全日志 命令 说明 regedit         注册表 taskmgr       

    2024年02月12日
    浏览(40)
  • Windows快捷命令-应急响应

    前言 作者简介:不知名白帽,网络安全学习者。 博客主页:https://blog.csdn.net/m0_63127854?type=blog 网络安全交流社区:https://bbs.csdn.net/forums/angluoanquan 目录 注意: 操作系统信息 查看操作系统信息 环境变量 账户和组 网卡 进程 计划任务 日志 文件 其他 查找隐藏用户 查找克隆用户

    2024年02月06日
    浏览(41)
  • Windows应急响应小结

    目录 应急响应流程 账户排查 网络排查 进程排查 内存分析 日志分析 PDCERF模型 P(Preparation 准备):信息搜集,工具准备 D(Detection 检测):了解资产现状,明确造成影响,尝试进行攻击路径溯源 C(Containment 遏制):关闭端口、服务,停止进程,拔网线 E(Eradication 根除):

    2024年04月27日
    浏览(37)
  • Windows应急响应排查思路

    「作者简介」: CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者 「推荐专栏」: 对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》

    2023年04月20日
    浏览(43)
  • 应急响应排查思路(Windows篇)

    「作者简介」: CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者 「推荐专栏」: 对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》

    2023年04月19日
    浏览(39)
  • 记一次Windows勒索病毒应急响应实战

    查看本地用户,未发现异常: 打开任务管理器,发现可疑进程F.exe: 利用wmi查看进程信息,发现其位置在开始菜单启动项中: C:UsersgyAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup 同时,通过任务管理器,发现windows临时文件夹中也有该程序 通过测试可知F.exe为勒索病毒程

    2024年02月06日
    浏览(40)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包