Windows应急响应操作手册
查看表征异常
系统卡慢、宕机、CPU和内存占用高、网络拥塞或断网、磁盘空余空间无理由大幅度缩小等,根据以上表征,可以初步猜测系统面临的问题。
windows 下查看系统基本信息
PS C:\Users\bobac\Desktop> systeminfo
windows 下查看CPU和内存消耗:
根据下图可以进行倒序排列
或者使用命令
PS C:\Users\bobac\Desktop> tasklist /V > 1.txt
windows 下查看网络通信情况
入侵点异常排查
看连接
PS C:\Users\bobac\Desktop> netstat -abo | findstr TCPTCP 0.0.0.0:135 WIN-8JQH4CQEJIR:0 LISTENING 708TCP 0.0.0.0:445 WIN-8JQH4CQEJIR:0 LISTENING 4TCP 0.0.0.0:49152 WIN-8JQH4CQEJIR:0 LISTENING 376TCP 0.0.0.0:49153 WIN-8JQH4CQEJIR:0 LISTENING 760TCP 0.0.0.0:49154 WIN-8JQH4CQEJIR:0 LISTENING 884TCP 0.0.0.0:49155 WIN-8JQH4CQEJIR:0 LISTENING 484TCP 0.0.0.0:49156 WIN-8JQH4CQEJIR:0 LISTENING 1716TCP 0.0.0.0:49157 WIN-8JQH4CQEJIR:0 LISTENING 492TCP 172.16.204.128:139 WIN-8JQH4CQEJIR:0 LISTENING 4TCP [::]:135 WIN-8JQH4CQEJIR:0 LISTENING 708TCP [::]:445 WIN-8JQH4CQEJIR:0 LISTENING 4TCP [::]:49152 WIN-8JQH4CQEJIR:0 LISTENING 376TCP [::]:49153 WIN-8JQH4CQEJIR:0 LISTENING 760TCP [::]:49154 WIN-8JQH4CQEJIR:0 LISTENING 884TCP [::]:49155 WIN-8JQH4CQEJIR:0 LISTENING 484TCP [::]:49156 WIN-8JQH4CQEJIR:0 LISTENING 1716TCP [::]:49157 WIN-8JQH4CQEJIR:0 LISTENING 492
PS C:\Users\bobac\Desktop>
看进程
PS C:\Users\bobac\Desktop> tasklist | findstr 1716
svchost.exe 1716 Services 0 18,232 K
PS C:\Users\bobac\Desktop>
看服务
PS C:\Users\bobac\Desktop> tasklist /SVC映像名称 PID 服务
========================= ======== ============================================
System Idle Process 0 暂缺
System 4 暂缺
smss.exe 244 暂缺
csrss.exe 324 暂缺
wininit.exe 376 暂缺
services.exe 484 暂缺
lsass.exe 492 SamSs
lsm.exe 500 暂缺
svchost.exe 600 DcomLaunch, PlugPlay, Power
vmacthlp.exe 668 VMware Physical Disk Helper Service
svchost.exe 708 RpcEptMapper, RpcSs
svchost.exe 760 AudioSrv, Dhcp, eventlog, lmhosts, wscsvc
svchost.exe 852 AudioEndpointBuilder, CscService, Netman,PcaSvc, TrkWks, UxSms
svchost.exe 884 Appinfo, Browser, gpsvc, IKEEXT, iphlpsvc,LanmanServer, ProfSvc, Schedule, SENS,ShellHWDetection, Themes, Winmgmt, wuauserv
svchost.exe 272 EventSystem, netprofm, nsi, sppuinotify,WdiServiceHost
svchost.exe 496 CryptSvc, Dnscache, LanmanWorkstation,NlaSvc
spoolsv.exe 1144 Spooler
svchost.exe 1172 BFE, DPS, MpsSvc
VGAuthService.exe 1332 VGAuthService
vmtoolsd.exe 1392 VMTools
svchost.exe 1668 bthserv
svchost.exe 1716 PolicyAgent
TPAutoConnSvc.exe 1808 TPAutoConnSvc
dllhost.exe 1988 COMSysApp
msdtc.exe 1212 MSDTC
WmiPrvSE.exe 1064 暂缺
SearchIndexer.exe 2888 WSearch
svchost.exe 2896 FontCache
sppsvc.exe 1868 sppsvc
ManagementAgentHost.exe 2492 VMwareCAFManagementAgentHost
svchost.exe 904 WinDefend
csrss.exe 3656 暂缺
winlogon.exe 3668 暂缺
taskhost.exe 2708 暂缺
dwm.exe 3844 暂缺
explorer.exe 3836 暂缺
TPAutoConnect.exe 3212 暂缺
conhost.exe 3980 暂缺
vmtoolsd.exe 2500 暂缺
cmd.exe 2744 暂缺
conhost.exe 2768 暂缺
PCHunter64.exe 1068 暂缺
taskmgr.exe 1352 暂缺
powershell.exe 3360 暂缺
conhost.exe 2640 暂缺
notepad.exe 2652 暂缺
tasklist.exe 3356 暂缺
PS C:\Users\bobac\Desktop>
看动态链接库
C:\Windows\system32>tasklist /M > 2.txt
看日志
进程日志和登录日志
路径 C:\Windows\System32\winevt\Logs
登录日志
系统日志
服务日志或WEB日志
请配置syslog,WEB日志也是文件,可以使用自动化分析工具
看注册表
查看启动项和计划任务
看账户
看防火墙配置
Windows应急响应操作手册相关推荐
- 勒索病毒应急响应指导手册
目录 0x01 自诊判断是否感染勒索病毒 1.1什么是勒索病毒 1.2如何判断遭受勒索病毒感染 1.3.如何判断当前感染了哪种勒索病毒 0x02 数据解密恢复 0x03 感染勒索病毒后正确的应急处理流 ...
- Windows应急响应篇
转载至奇安信攻防社区-Windows应急响应篇 Windows应急响应篇 本篇主要以windows下应急响应的基础技术手段进行介绍. 一.概述: 近年来,随着互联网的发展网络安全攻击事件也是大幅度增多 ...
- 应急响应-HW之windows 应急响应之入侵排查技巧
windows 应急响应之入侵排查技巧 文章目录 windows 应急响应之入侵排查技巧 常见的应急响应事件分类: 入侵排查思路 0x01 分析入侵过程 0x02 入侵排查方法 一.检查系统账号安全 ...
- Windows应急响应信息采集工具
Windows应急响应信息采集工具 文章目录 Windows应急响应信息采集工具 GetInfo介绍 功能列表 使用说明 注意事项: 可能存在的问题 下载地址 目录结构: 项目地址: GetInfo介 ...
- Windows应急响应-文件隐藏
公众号原文连接: Windows应急响应-文件隐藏 在黑帽SEO中,通常会遇到利用easy file locker来实现驱动隐蔽的方式. 1. 下载easy file locker https://d ...
- Windows应急响应排查思路,应急响应基础技能
「作者简介」:CSDN top100.阿里云博客专家.华为云享专家.网络安全领域优质创作者 「推荐专栏」:对网络安全感兴趣的小伙伴可以关注专栏<网络安全入门到精通> Windows应急响应 ...
- Windows应急响应
临近冬奥.残奥,发一篇Windows的应急响应,希望对大家有所帮助,下一篇会发Linux的应急响应. 目录 Part1 前期交互 Part2 主机排查 Part3 工具篇 Part1 前期交互 这个阶 ...
- Windows应急响应 -Windows日志排查,系统日志,Web应用日志,
「作者简介」:CSDN top100.阿里云博客专家.华为云享专家.网络安全领域优质创作者 「推荐专栏」:对网络安全感兴趣的小伙伴可以关注专栏<网络安全入门到精通> Windows日志分析 ...
- Windows 应急响应辅助笔记
目录导航 0x00 前言: 0x01 应急辅助工具: 工具列表: 在线沙箱: 0x02 排查前说明: 0x03 账户排查: 方法一: 方法二: 方法三: 方法四: 0x04 系统日志排查: 安全日志: ...
最新文章
- android 图片过滤,android 图片转为bitmap,黑白镜过滤
- JSF, MyFaces, RichFaces 和 Facelets的区别
- 音视频技术开发周刊 | 138
- 第二篇|腾讯开源项目盘点:ncnn、xLua、libco等
- codeforces1554 E. You(思维+数学+转化)
- 论文阅读课2-Inter-sentence Relation Extraction with Document-level (GCNN,句间关系抽取,ACL2019
- 山东大学 2020级数据库系统 实验五
- 快速上手Linux核心命令(三):文件和目录操作命令
- 转正答辩ppt_如何顺利完成转正答辩?
- 库克考虑卸任苹果CEO,谁会是下一任接班人?
- 关于学习新知识的一点想法
- 机器学习笔记【二】逻辑回归与分类(1):逻辑回归参数更新规则以及pytorch实现
- 前端开发step1,2,3
- win10无法装载iso文件_win10系统iso文件怎么安装
- 京籍、非京籍、外籍孩子,在北京选择国际高中
- 这么多编程语言,初学者选择哪个比较好?
- [Android Input系统]MotionEvent的序列化传送
- 计算机硬盘越大运行速度越大吗,电脑的内存越大越好吗?如果只加大内存,电脑反而会被拖慢!...
- IM即时通讯软件开发之扫码登录功能
- 印刷最基础的知识(从业人员手册)
热门文章
- simplifyEnrichment,一个对GO富集结果进行聚类和可视化的工具
- fcpx视觉特效插件包 - FxFactory for Mac 支持M1芯片
- adb指令禁用软件_技巧 | adb助你华为手机免ROOT卸载预装软件
- NOI大纲 CSP初赛篇·知识大纲 CSP-入门级-NOI大纲
- CAN总线技术 | 数据链路层04 - CAN节点状态与错误处理机制
- android api文档中文版_什么骚操作,用Android能写后台服务?
- java定时任务_ftp上传软件,ftp上传软件定时功能教程
- Java工作笔记-类型转换的一种思路(前后端分离、反射)
- Spring Boot中实现简单表单提交(登录功能)
- Qt工作笔记-QSort的基本使用