查看表征异常

系统卡慢、宕机、CPU和内存占用高、网络拥塞或断网、磁盘空余空间无理由大幅度缩小等,根据以上表征,可以初步猜测系统面临的问题。

windows 下查看系统基本信息

PS C:\Users\bobac\Desktop> systeminfo

windows 下查看CPU和内存消耗:

根据下图可以进行倒序排列

或者使用命令

PS C:\Users\bobac\Desktop> tasklist /V > 1.txt

windows 下查看网络通信情况

入侵点异常排查

看连接

PS C:\Users\bobac\Desktop> netstat -abo | findstr TCPTCP    0.0.0.0:135            WIN-8JQH4CQEJIR:0      LISTENING       708TCP    0.0.0.0:445            WIN-8JQH4CQEJIR:0      LISTENING       4TCP    0.0.0.0:49152          WIN-8JQH4CQEJIR:0      LISTENING       376TCP    0.0.0.0:49153          WIN-8JQH4CQEJIR:0      LISTENING       760TCP    0.0.0.0:49154          WIN-8JQH4CQEJIR:0      LISTENING       884TCP    0.0.0.0:49155          WIN-8JQH4CQEJIR:0      LISTENING       484TCP    0.0.0.0:49156          WIN-8JQH4CQEJIR:0      LISTENING       1716TCP    0.0.0.0:49157          WIN-8JQH4CQEJIR:0      LISTENING       492TCP    172.16.204.128:139     WIN-8JQH4CQEJIR:0      LISTENING       4TCP    [::]:135               WIN-8JQH4CQEJIR:0      LISTENING       708TCP    [::]:445               WIN-8JQH4CQEJIR:0      LISTENING       4TCP    [::]:49152             WIN-8JQH4CQEJIR:0      LISTENING       376TCP    [::]:49153             WIN-8JQH4CQEJIR:0      LISTENING       760TCP    [::]:49154             WIN-8JQH4CQEJIR:0      LISTENING       884TCP    [::]:49155             WIN-8JQH4CQEJIR:0      LISTENING       484TCP    [::]:49156             WIN-8JQH4CQEJIR:0      LISTENING       1716TCP    [::]:49157             WIN-8JQH4CQEJIR:0      LISTENING       492
PS C:\Users\bobac\Desktop>

看进程

PS C:\Users\bobac\Desktop> tasklist | findstr 1716
svchost.exe                   1716 Services                   0     18,232 K
PS C:\Users\bobac\Desktop>

看服务

PS C:\Users\bobac\Desktop> tasklist /SVC映像名称                       PID 服务
========================= ======== ============================================
System Idle Process              0 暂缺
System                           4 暂缺
smss.exe                       244 暂缺
csrss.exe                      324 暂缺
wininit.exe                    376 暂缺
services.exe                   484 暂缺
lsass.exe                      492 SamSs
lsm.exe                        500 暂缺
svchost.exe                    600 DcomLaunch, PlugPlay, Power
vmacthlp.exe                   668 VMware Physical Disk Helper Service
svchost.exe                    708 RpcEptMapper, RpcSs
svchost.exe                    760 AudioSrv, Dhcp, eventlog, lmhosts, wscsvc
svchost.exe                    852 AudioEndpointBuilder, CscService, Netman,PcaSvc, TrkWks, UxSms
svchost.exe                    884 Appinfo, Browser, gpsvc, IKEEXT, iphlpsvc,LanmanServer, ProfSvc, Schedule, SENS,ShellHWDetection, Themes, Winmgmt, wuauserv
svchost.exe                    272 EventSystem, netprofm, nsi, sppuinotify,WdiServiceHost
svchost.exe                    496 CryptSvc, Dnscache, LanmanWorkstation,NlaSvc
spoolsv.exe                   1144 Spooler
svchost.exe                   1172 BFE, DPS, MpsSvc
VGAuthService.exe             1332 VGAuthService
vmtoolsd.exe                  1392 VMTools
svchost.exe                   1668 bthserv
svchost.exe                   1716 PolicyAgent
TPAutoConnSvc.exe             1808 TPAutoConnSvc
dllhost.exe                   1988 COMSysApp
msdtc.exe                     1212 MSDTC
WmiPrvSE.exe                  1064 暂缺
SearchIndexer.exe             2888 WSearch
svchost.exe                   2896 FontCache
sppsvc.exe                    1868 sppsvc
ManagementAgentHost.exe       2492 VMwareCAFManagementAgentHost
svchost.exe                    904 WinDefend
csrss.exe                     3656 暂缺
winlogon.exe                  3668 暂缺
taskhost.exe                  2708 暂缺
dwm.exe                       3844 暂缺
explorer.exe                  3836 暂缺
TPAutoConnect.exe             3212 暂缺
conhost.exe                   3980 暂缺
vmtoolsd.exe                  2500 暂缺
cmd.exe                       2744 暂缺
conhost.exe                   2768 暂缺
PCHunter64.exe                1068 暂缺
taskmgr.exe                   1352 暂缺
powershell.exe                3360 暂缺
conhost.exe                   2640 暂缺
notepad.exe                   2652 暂缺
tasklist.exe                  3356 暂缺
PS C:\Users\bobac\Desktop>

看动态链接库

C:\Windows\system32>tasklist /M > 2.txt

看日志

进程日志和登录日志

路径 C:\Windows\System32\winevt\Logs

登录日志

系统日志

服务日志或WEB日志

请配置syslog,WEB日志也是文件,可以使用自动化分析工具

看注册表

查看启动项和计划任务

看账户

看防火墙配置

Windows应急响应操作手册相关推荐

  1. 勒索病毒应急响应指导手册

    目录 0x01 自诊判断是否感染勒索病毒 1.1什么是勒索病毒 1.2如何判断遭受勒索病毒感染 1.3.如何判断当前感染了哪种勒索病毒 0x02 数据解密恢复 0x03 感染勒索病毒后正确的应急处理流 ...

  2. Windows应急响应篇

    转载至奇安信攻防社区-Windows应急响应篇 Windows应急响应篇 本篇主要以windows下应急响应的基础技术手段进行介绍. 一.概述: 近年来,随着互联网的发展网络安全攻击事件也是大幅度增多 ...

  3. 应急响应-HW之windows 应急响应之入侵排查技巧

    windows 应急响应之入侵排查技巧 文章目录 windows 应急响应之入侵排查技巧 常见的应急响应事件分类: 入侵排查思路 0x01 分析入侵过程 0x02 入侵排查方法 一.检查系统账号安全 ...

  4. Windows应急响应信息采集工具

    Windows应急响应信息采集工具 文章目录 Windows应急响应信息采集工具 GetInfo介绍 功能列表 使用说明 注意事项: 可能存在的问题 下载地址 目录结构: 项目地址: GetInfo介 ...

  5. Windows应急响应-文件隐藏

    公众号原文连接: Windows应急响应-文件隐藏 在黑帽SEO中,通常会遇到利用easy file locker来实现驱动隐蔽的方式. 1. 下载easy file locker https://d ...

  6. Windows应急响应排查思路,应急响应基础技能

    「作者简介」:CSDN top100.阿里云博客专家.华为云享专家.网络安全领域优质创作者 「推荐专栏」:对网络安全感兴趣的小伙伴可以关注专栏<网络安全入门到精通> Windows应急响应 ...

  7. Windows应急响应

    临近冬奥.残奥,发一篇Windows的应急响应,希望对大家有所帮助,下一篇会发Linux的应急响应. 目录 Part1 前期交互 Part2 主机排查 Part3 工具篇 Part1 前期交互 这个阶 ...

  8. Windows应急响应 -Windows日志排查,系统日志,Web应用日志,

    「作者简介」:CSDN top100.阿里云博客专家.华为云享专家.网络安全领域优质创作者 「推荐专栏」:对网络安全感兴趣的小伙伴可以关注专栏<网络安全入门到精通> Windows日志分析 ...

  9. Windows 应急响应辅助笔记

    目录导航 0x00 前言: 0x01 应急辅助工具: 工具列表: 在线沙箱: 0x02 排查前说明: 0x03 账户排查: 方法一: 方法二: 方法三: 方法四: 0x04 系统日志排查: 安全日志: ...

最新文章

  1. android 图片过滤,android 图片转为bitmap,黑白镜过滤
  2. JSF, MyFaces, RichFaces 和 Facelets的区别
  3. 音视频技术开发周刊 | 138
  4. 第二篇|腾讯开源项目盘点:ncnn、xLua、libco等
  5. codeforces1554 E. You(思维+数学+转化)
  6. 论文阅读课2-Inter-sentence Relation Extraction with Document-level (GCNN,句间关系抽取,ACL2019
  7. 山东大学 2020级数据库系统 实验五
  8. 快速上手Linux核心命令(三):文件和目录操作命令
  9. 转正答辩ppt_如何顺利完成转正答辩?
  10. 库克考虑卸任苹果CEO,谁会是下一任接班人?
  11. 关于学习新知识的一点想法
  12. 机器学习笔记【二】逻辑回归与分类(1):逻辑回归参数更新规则以及pytorch实现
  13. 前端开发step1,2,3
  14. win10无法装载iso文件_win10系统iso文件怎么安装
  15. 京籍、非京籍、外籍孩子,在北京选择国际高中
  16. 这么多编程语言,初学者选择哪个比较好?
  17. [Android Input系统]MotionEvent的序列化传送
  18. 计算机硬盘越大运行速度越大吗,电脑的内存越大越好吗?如果只加大内存,电脑反而会被拖慢!...
  19. IM即时通讯软件开发之扫码登录功能
  20. 印刷最基础的知识(从业人员手册)

热门文章

  1. simplifyEnrichment,一个对GO富集结果进行聚类和可视化的工具
  2. fcpx视觉特效插件包 - FxFactory for Mac 支持M1芯片
  3. adb指令禁用软件_技巧 | adb助你华为手机免ROOT卸载预装软件
  4. NOI大纲 CSP初赛篇·知识大纲 CSP-入门级-NOI大纲
  5. CAN总线技术 | 数据链路层04 - CAN节点状态与错误处理机制
  6. android api文档中文版_什么骚操作,用Android能写后台服务?
  7. java定时任务_ftp上传软件,ftp上传软件定时功能教程
  8. Java工作笔记-类型转换的一种思路(前后端分离、反射)
  9. Spring Boot中实现简单表单提交(登录功能)
  10. Qt工作笔记-QSort的基本使用