【Windows应急响应】HW蓝队必备——开机启动项、临时文件、进程排查、计划任务排查、注册表排查、恶意进程查杀、隐藏账户、webshell查杀等

这篇具有很好参考价值的文章主要介绍了【Windows应急响应】HW蓝队必备——开机启动项、临时文件、进程排查、计划任务排查、注册表排查、恶意进程查杀、隐藏账户、webshell查杀等。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

应急响应的重要性

近年来信息安全事件频发,信息安全的技能、人才需求大增。现在,不管是普通的企业,还是专业的安全厂商,都不可避免的需要掌握和运用好信息安全的知识、技能,以便在需要的时候,能够御敌千里。所谓养兵千日,用兵一时,拥有一支完善的团队或完整的流程,可以保障企业在出现重大安全事件时,能有条不紊的进行处置,及时把破坏范围缩小。
且在即将开始的护网中,应急响应也是其中非常重要的一环,学好应急响应能让你在面试中如虎添翼。

开机启动项

  • 1、利用操作系统中的启动菜单C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
  • 2、利用系统配置msconfig
  • 3、利用注册表regedit HKEY CURRENT USERS/software/Microsoft/Windows/CurrentVersion/Run
    windows应急响应,应急响应,windows,microsoft
    windows应急响应,应急响应,windows,microsoft
    windows应急响应,应急响应,windows,microsoft

temp文件分析

temp(临时文件夹),位于C:\Documents and Settings\AdministratorLocal Settings\内。很多临时文件放在这里,用来收藏夹,浏览网页的临时文件,编辑文件等。

  • 查看temp文件夹发现PE文件 (exe、di1sys),或者是否具有特别大的tmp文件
  • 将文件上传到 https://wwwvirustotal.com/ 进行查看,是否为恶意代码
    文章分享

windows应急响应,应急响应,windows,microsoft

浏览器信息分析

  • 浏览器浏览痕迹查看
  • 浏览器Cookie信息查看
  • 浏览器文件下载记录查看

文件时间属性分析

如果修改时间要早于创建时间那么这个文件存在很大可疑。使用中国菜刀等工具修改的 修改时间,通过文件属性可以查看到创建时间、修改时间、访问时间。

最近打开文件分析

Windows系统中默认记录系统中最近打开使用的文件信息。可以在目录C:\Documents and Settings\Administrator Recent 下查看,也可以使用 win+R打开运行%userprofile%\recent查看。
windows应急响应,应急响应,windows,microsoft

进程分析

  • netstat-ano | find“ESTABLISHED”查看网络建立连接状态
  • tasklist /svc | find “PID” 查看具体PID进程对应的程序
  • taskkill /PID pid值 /T 关闭进程
    windows应急响应,应急响应,windows,microsoft
    windows应急响应,应急响应,windows,microsoft

计划任务

  • schtasks.exe
  • 任务计划程序
    windows应急响应,应急响应,windows,microsoft
    windows应急响应,应急响应,windows,microsoft

隐藏账户的发现添加与删除

  • 最为简单的隐藏账户建立: net user test$ test /add && net localgroup administrator test$ /add
  • 计算机管理->本地用户和组->用户
  • 注册表 HKEY_LOCAL_MACHINE/HARDWARE/SAM/SAM/DOMAINS/ACCOUNT/USERS/NAMES
  • windows应急响应,应急响应,windows,microsoft
    windows应急响应,应急响应,windows,microsoft
    这样添加的用户无法在该命令中被发现,可以在计算机管理和注册表中看到
    windows应急响应,应急响应,windows,microsoft
    若在这其中也被隐藏,只能看注册表了。
    windows应急响应,应急响应,windows,microsoft

恶意进程发现及关闭

使用工具psexplore 找到恶意程序之后在进程列表中删除。
windows应急响应,应急响应,windows,microsoft
psexplore可以联动VirusTotal进行恶意代码分析并进行查杀。
下载链接

补丁信息

  • control->程序->已安装更新
  • systeminfo
  • win+i更新
    windows应急响应,应急响应,windows,microsoft
    windows应急响应,应急响应,windows,microsoft

webshell查杀

D盾、河马webshell文章来源地址https://www.toymoban.com/news/detail-787111.html

到了这里,关于【Windows应急响应】HW蓝队必备——开机启动项、临时文件、进程排查、计划任务排查、注册表排查、恶意进程查杀、隐藏账户、webshell查杀等的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Windows应急响应排查思路,应急响应基础技能

    「作者简介」: CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者 「推荐专栏」: 对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》

    2024年02月01日
    浏览(64)
  • 网络安全 hw 蓝队实战之溯源

    声明:作者所发布的文章及工具只限交流学习,不承担任何责任!如有侵权,请告知我立即删除。 对于攻防演练蓝军的伙伴们来说,最难的技术难题可能就是溯源,尤其在今天代理横行的时代更加难以去溯源攻击者。这里我就举两个溯源来帮助大家梳理溯源过程,一个是只溯

    2024年02月12日
    浏览(44)
  • hw蓝队初级的一次面试(基础)

    1、失效的访问控制(越权) 2、加密失败 3、注入 4、不安全的设计 5、安全配置错误 6、易受攻击和过时的组件 7、认证和授权失败 8、软件和数据完整性故障 9、安全日志记录和监控失效 10、服务端请求伪造 CSRF:跨站请求攻击(XSRF) 发生条件 :当用户在安全网站A登录后保

    2024年02月01日
    浏览(38)
  • 2023网络安全HW蓝队面试题汇总

    护网行动是提高国家网络安全防御能力的一种有效手段,而蓝队作为攻防演习中的防守方,也是护网行动的重要一份子。 在这篇文章中,我们将汇总多篇有关护网行动蓝队初级人员面试题的资料,对这些资料进行整合和分析,为准备参加面试的蓝队初级人员提供参考,为读者

    2024年02月13日
    浏览(47)
  • Windows应急响应排查思路

    「作者简介」: CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者 「推荐专栏」: 对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》

    2023年04月20日
    浏览(46)
  • Windows快捷命令-应急响应

    前言 作者简介:不知名白帽,网络安全学习者。 博客主页:https://blog.csdn.net/m0_63127854?type=blog 网络安全交流社区:https://bbs.csdn.net/forums/angluoanquan 目录 注意: 操作系统信息 查看操作系统信息 环境变量 账户和组 网卡 进程 计划任务 日志 文件 其他 查找隐藏用户 查找克隆用户

    2024年02月06日
    浏览(44)
  • Windows应急响应小结

    目录 应急响应流程 账户排查 网络排查 进程排查 内存分析 日志分析 PDCERF模型 P(Preparation 准备):信息搜集,工具准备 D(Detection 检测):了解资产现状,明确造成影响,尝试进行攻击路径溯源 C(Containment 遏制):关闭端口、服务,停止进程,拔网线 E(Eradication 根除):

    2024年04月27日
    浏览(40)
  • 应急响应-Windows

    前言 作者简介:不知名白帽,网络安全学习者。 博客主页:不知名白帽的博客_CSDN博客-网络安全,CTF,内网渗透领域博主 网络安全交流社区:https://bbs.csdn.net/forums/angluoanquan 目录 常用命令 敏感目录 日志分析 系统日志 安全日志 命令 说明 regedit         注册表 taskmgr       

    2024年02月12日
    浏览(43)
  • 应急响应排查思路(Windows篇)

    「作者简介」: CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者 「推荐专栏」: 对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》

    2023年04月19日
    浏览(43)
  • 记一次Windows勒索病毒应急响应实战

    查看本地用户,未发现异常: 打开任务管理器,发现可疑进程F.exe: 利用wmi查看进程信息,发现其位置在开始菜单启动项中: C:UsersgyAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup 同时,通过任务管理器,发现windows临时文件夹中也有该程序 通过测试可知F.exe为勒索病毒程

    2024年02月06日
    浏览(43)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包