原文:助安社区-应急响应实战指南 http://security-incident-respons.secself.com
端口
检查端口连接情况,是否有远程连接、可疑连接。
检查方法
- 使用
netstat -ano命令查看目前的网络连接,定位可疑的 ESTABLISHED - 根据 netstat 命令定位出的 PID 编号,再通过 tasklist 命令进行进程定位
tasklist | findstr "PID"
进程
- 开始 -- 运行 -- 输入
msinfo32命令,依次点击 "软件环境 -- 正在运行任务" 就可以查看到进程的详细信息,比如进程路径、进程ID、文件创建日期以及启动时间等。 - 打开D盾_web查杀工具,进程查看,关注没有签名信息的进程。
- 通过微软官方提供的 Process Explorer 等工具进行排查 。
查看可疑的进程及其子进程。可以通过观察以下内容:
- 没有签名验证信息的进程
- 没有描述信息的进程
- 进程的属主
- 进程的路径是否合法
- CPU 或内存资源占用长时间过高的进程
小技巧:
- 查看端口对应的 PID:
netstat -ano | findstr "port" - 查看进程对应的 PID:任务管理器 -- 查看 -- 选择列 -- PID 或者
tasklist | findstr "PID" 查看进程对应的程序位置:
- 任务管理器 -- 选择对应进程 -- 右键打开文件位置
- 运行输入
wmic,cmd 界面输入process``
tasklist /svc进程 -- PID -- 服务- 查看Windows服务所对应的端口:
%systemroot%/system32/drivers/etc/services(一般 %systemroot% 就是 C:\Windows 路径)
