Windows应急响应-异常资源

简介: 端口检查端口连接情况,是否有远程连接、可疑连接。检查方法1. 使用`netstat -ano` 命令查看目前的网络连接,定位可疑的 ESTABLISHED 2. 根据 netstat 命令定位出的 PID 编号,再通过 tasklist 命令进行进程定位 `tasklist | findstr "PID"`

原文:助安社区-应急响应实战指南 http://security-incident-respons.secself.com

端口

检查端口连接情况,是否有远程连接、可疑连接。

检查方法

  1. 使用netstat -ano 命令查看目前的网络连接,定位可疑的 ESTABLISHED
  2. 根据 netstat 命令定位出的 PID 编号,再通过 tasklist 命令进行进程定位 tasklist | findstr "PID"

68040354217

68040370627

进程

  • 开始 -- 运行 -- 输入 msinfo32 命令,依次点击 "软件环境 -- 正在运行任务" 就可以查看到进程的详细信息,比如进程路径、进程ID、文件创建日期以及启动时间等。
  • 打开D盾_web查杀工具,进程查看,关注没有签名信息的进程。
  • 通过微软官方提供的 Process Explorer 等工具进行排查 。
  • 查看可疑的进程及其子进程。可以通过观察以下内容:

    • 没有签名验证信息的进程
    • 没有描述信息的进程
    • 进程的属主
    • 进程的路径是否合法
    • CPU 或内存资源占用长时间过高的进程

小技巧:

  • 查看端口对应的 PID:netstat -ano | findstr "port"
  • 查看进程对应的 PID:任务管理器 -- 查看 -- 选择列 -- PID 或者 tasklist | findstr "PID"
  • 查看进程对应的程序位置:

    • 任务管理器 -- 选择对应进程 -- 右键打开文件位置
    • 运行输入 wmic,cmd 界面输入 process``
  • tasklist /svc 进程 -- PID -- 服务
  • 查看Windows服务所对应的端口:%systemroot%/system32/drivers/etc/services(一般 %systemroot% 就是 C:\Windows 路径)

68040398823

68040404291

相关文章
|
2月前
|
安全 网络安全 Windows
Windows应急响应-PcShare远控木马
【10月更文挑战第3天】这段文档介绍了在Windows系统中应对PcShare远控木马的紧急响应步骤。用户因在非官方平台下载软件后疑似中招而求助排查。文档详细描述了从发现异常连接和服务、定位注册表项到彻底查杀木马的过程,并强调了重启后的二次检查。最后提醒应避免非官方渠道下载软件,保持系统更新,定期备份数据,并在必要时寻求专业帮助。
84 11
|
2月前
|
存储 安全 网络安全
Windows应急响应-QQ巨盗病毒
【10月更文挑战第7天】本文详细介绍了QQ巨盗病毒的危害及其应对措施。该病毒主要通过恶意网站、垃圾邮件等途径传播,窃取QQ账号及密码,并可能进一步泄露隐私信息和破坏系统。文章列举了感染迹象,如系统性能下降和网络异常,并提供了应急响应步骤,包括断网隔离、使用杀毒软件扫描清除病毒、修改密码及开启多重验证等,最后强调了系统恢复与加固以及用户安全教育的重要性。
|
4月前
|
存储 Linux 数据中心
【Azure 环境】在Windows系统中 使用Terraform创建中国区Azure资源步骤(入门级)
【Azure 环境】在Windows系统中 使用Terraform创建中国区Azure资源步骤(入门级)
|
5月前
|
安全 网络协议 Linux
【Windows】已解决:修改本地host文件异常的正确解决方法
【Windows】已解决:修改本地host文件异常的正确解决方法
349 0
|
5月前
|
NoSQL Redis Windows
redis双击闪退解决方法,windows版的redis资源,redis安装,win资源可下
redis双击闪退解决方法,windows版的redis资源,redis安装,win资源可下
|
7月前
|
Shell Windows
Windows【工具 03】QuickLook-3.6.11安装并设置开机自启动(含较难下载的 QuickLook-3.6.11 安装包百度云盘资源)
Windows【工具 03】QuickLook-3.6.11安装并设置开机自启动(含较难下载的 QuickLook-3.6.11 安装包百度云盘资源)
219 0
|
7月前
|
Java
Java【付诸实践 04】Jar包class文件反编译、修改、重新编译打包方法(含反编译工具jd-gui-windows-1.6.6.zip百度云资源)
Java【付诸实践 04】Jar包class文件反编译、修改、重新编译打包方法(含反编译工具jd-gui-windows-1.6.6.zip百度云资源)
852 0
|
7月前
|
存储 数据可视化 数据库
InfluxData【付诸实践 01】Windows环境部署Telegraf+Influxdb+Grafana安装及使用配置(含百度云盘资源+demo脚本)
InfluxData【付诸实践 01】Windows环境部署Telegraf+Influxdb+Grafana安装及使用配置(含百度云盘资源+demo脚本)
214 0
|
Linux 数据安全/隐私保护 Windows
AES在windows下正常加解密,Linux下加密正常,解密异常(javax.crypto.BadPaddingException: pad block co
AES在windows下正常加解密,Linux下加密正常,解密异常(javax.crypto.BadPaddingException: pad block co
209 1
|
Ubuntu 固态存储 Linux
系统类配置(一)【安装windows10与ubuntu16.04双系统-附镜像资源】
系统类配置(一)【安装windows10与ubuntu16.04双系统-附镜像资源】
184 0