没有合适的资源？快使用搜索试试~ 我知道了~

文库首页安全技术网络安全【应急响应】windows入侵检查流程1

【应急响应】windows入侵检查流程1

windows

需积分: 0 0 下载量 2 浏览量 2022-08-03 18:56:17 上传评论 1 收藏 2.37MB PDF 举报

温馨提示

试读

38页

1.1 已监听端 1.2 已建连接 1.3 系统进程 1.1 任务计划 1.2 启动项 1.3 环境变量 1.4 系统服务

资源推荐

资源详情

资源评论

【

应急

响

应

】

windows

⼊

侵

检

查

流

程

应急

响

应

的

时

候

，

我

们

需

要

判

断

⼀个

系统

是

否

有

被

⿊

客

⼊

侵

，

本

篇

给

⼤

家

介

绍

⼀

些

在

应急

响

应

时

Windows

⼊

侵

检

查

的

⼀

些

知

识

点

。

检

查

概

述

由

于

⽆

法

站

在

攻

击

者

视⻆

审

视

其做

过

哪

些

攻

击

⾏

为

，

因

此

标

准化

的

检

查

内

容

可

以

规

避

⾮

标

准

化

的

⻛险

。

例

如

操

作

系统

虽

然

没

有

异常

登

录

⽇

志

，

但

如

果

不

检

查

操

作

系统

⽤

户

即

会

存

在

遗

漏

从

⽽

产

⽣

⻛

险

，

同

时

也

可

规

避

上

次检

查

内

容

，

本

次检

查

内

容

的

⾮

标

准化

⻛险

。

因

此

⽆

论

每

个

⼈

的

标

准

是

否

统

⼀，

取

⻓

补

短

逐

渐

完

善

⾃

⼰

的

标

准化

是

建

议

进

⾏

的

。

windows

操

作

系统

⼊

侵

检

查

流

程

图

如

下

所

示

：

现

象

检

查

可

通过

监

测

告

警

、

⽇

常

巡

检

等

主

动

机

制

发

现

存

在

的

异常

事件

，

如

果

没

有

主

动

发

现

，

则

只

能

在

安

全

事件

发

⽣

后

被

动

发

现

以

下

说

明

在

被

⼊

侵

后

对

可

能

存

在

的

异常

现

象

进

⾏

检

查

安

全

事件

发

⽣

后

被

动

发

现

。

以

下

说

明

在

被

⼊

侵

后

对

可

能

存

在

的

异常

现

象

进

⾏

检

查

。

现

象

检

查

发

现

的

异常

程

序

不

可

直

接

删

除

，

应

先

验

证

异常

进

程

是

否

存

在

⾃

我

守

护

机

制

，

否

则

安

全

事件

⽆

法

得

到

根

除

。

1.1

已

监

听

端

⼝

已

监

听

端

⼝

并

⾮

⼀个

独

⽴

的

对

象

，

⽽

是

和

进

程

相

关

联

，

进

程

如

果

需

要

对

外

提

供

访

问

接

⼝

，

则

必

须

通过

监

听

端

⼝

的

⽅

式

对

外

开

放

，

常

⽤

于

在

内

⽹

中

部

署

正

向后

⻔

程

序

。

注

意

点

：

在

操

作

系统

初

始

化

正

常

运

⾏

后

，

建

议记

录

已

监

听

端

⼝

的

基

线

值

，

供

⽇

常

巡

检

使

⽤

；

受

操

作

系统

、

关

键

路

径

中

的

⽹络

层

访

问

控

制

影

响

。

例

如

检

查

已

监

听

端

⼝

是

否

存

在

异常

。

则

运

⾏

cmd

命

令

⾏

，

使

⽤

netstat -ano |

ﬁ

ndstr LIST

命

令

检

查

已

监

听

端

⼝

。

示

例

：

点

击

【

开

始

菜

单

】

，

搜

索

框

中

输

⼊

【

cmd

】

，

右

键

点

击

【

cmd.exe

】

程

序

，

选

择

【

以

管

理

员

身

份

运

⾏

】。

使

⽤

netstat -ano |

ﬁ

ndstr LIST

命

令

检

查

已

监

听

端

⼝

。

含

义

如

下：

左

列

，

程

序

协

议

；

左

列

，

本

地

监

听

地址

和

端

⼝

；

左

列

，

外

部

地址

（

留

空

）；

左

列

，

状

态

为

监

听

；

左

列

，

程

序

pid

。

可

根

据

已

知

程

序

不

会

监

听

的

端

⼝

进

⾏

判

断

是

否

存

在

异常

，

并

根

据

该

链

接

的

pid

进

⾏

深

⼊分

析

。

1.2

已

建

⽴

连

接

已

建

⽴

连

接

分

为

⼊

站

连

接

和

出

站

连

接

，

⼊

站

意

为

访

问

操

作

系统

本

地

的

⽅

向

，

出

站

意

为

操

作

系

统

访

问

外

部

的

⽅

向

。

注

意

点

：

受

操

作

系统

、

关

键

路

径

中

的

⽹络

层

访

问限

制

影

响

；

服

务

端

如

存

在

主

动

外

联

则

需

要

重

点

检

查

。

例

如

检

查

已

建

⽴

连

接

是

否

存

在

异常

。

则

使

⽤

netstat -ano |

ﬁ

ndstr EST

命

令

检

查

已

建

⽴

连

接

。

示

例

示

例

：

查

询

结

果

，

可

根

据

⾮

常

规

连

接

判

断

是

否

存

在

异常

，

并

根

据

该

链

接

的

pid

进

⾏

深

⼊分

析

：

1.3

系统

进

程

cpu

资

源

被

占

满

、

异常

的

已

监

听

端

⼝

、

异常

的

已

建

⽴

连

接

在

深

⼊分

析时

都

会

检

查

系统

进

程

。

注

意

点

：不

建

议

使

⽤

任

务

管

理

器

进

⾏

系统

进

程

检

查

，

因

为

可

供

分

析

的

维

度

较

少

，且

容

易

被

进

程

名

欺

骗

，

操

作

系统

允

许

相

同名

称

但

不

同

执

⾏

路

径

的

进

程

同

时

存

在

。

例

如

检

查

系统

进

程

是

否

存

在

异常

，

使

⽤

以

下

命

令

获

取

系统

进

程

详

细

信

息

。

wmic process get

caption,commandline,creationDate,executablepath,handle,handleCount

>c:\yanlian\porcess.txt

示

例

：

在

cmd

命

令

⾏

中

复

制

以

上

命

令

并

回

⻋

执

⾏

。

打

开

C:\yanlian\process.txt

，

可

看

到

列内

容

，

含

义

如

下

所

示

：

1 caption

：

进

程

名

；

2 commandline

：

进

程

名

、

程

序

执

⾏

路

径

、

进

程

执

⾏

参

数

；

3 creationDate

：

进

程

启

动

时

间

（

格

式

为

：

年

⽉

⽇

时

分

秒

）；

4 executablepath

：

程

序

执

⾏

路

径

；

5 handle

：

进

程

pid

；

6 handleCount

：

该

进

程

的

⽗

进

程

pid

。

可

根

据

进

程

名

、

进

程

执

⾏

参

数

、

进

程

启

动

时

间

、

程

序

执

⾏

路

径

判

断

是

否

存

在

异常

，

并

根

据

异

常

点

进

⾏

深

⼊分

析

。

持

久

化

检

查

如

通过

现

象

检

查

发

现

异常

程

序

，

则

可

以

通过

停

⽌

运

⾏该

进

程

的

⽅

式

，

判

断

其

是

否

会

重

新

启

动

。

1.1

任

务

计

划

任

务

计

划

可

以

将

任何

脚

本

或

程

序

定

时

启

动

。

如

被

⿊

客

利

⽤

则

会

充

当

恶意

程

序

的

守

护

机

制

。

注

意

点

：不

建

议

使

⽤

图

形

化

任

务

计

划

程

序

进

⾏

检

查

，

因

为

数

量

、

层

级

较

多

不

⽅

便

检

查

。

检

查

任

务

计

划

是

否

存

在

异常

的

⽅

法

：

1

使

⽤

schtasks /query /fo LIST /v

>c:\yanlian\schtasks.txt

命

令

获

取

任

务

计

划

；

使

⽤

正

则

Time|Start Date)(.*)

过

滤

任

务

计

划关

键

字

段

；

使

⽤

正

则

S D ( *)

和

S D $0\

分割

不

同

任

务

计

划

剩余37页未读，继续阅读

评论收藏

内容反馈

资源评论

资源反馈

评论星级较低，若资源使用遇到问题可联系上传者，3个工作日内问题未解决可申请退款~

林祈墨

粉丝: 31
资源: 326

上传资源快速赚钱

我的内容管理展开

我的资源快来上传第一个资源

我的收益

登录查看自己的收益

我的积分登录查看自己的积分

我的C币登录后查看C币余额

我的收藏

我的下载

下载帮助

前往需求广场，查看用户热搜

【应急响应】windows入侵检查流程1

应急响应-攻击入侵排查 教学PPT

【应急响应】Linux入侵排查思路

记一次linux服务器入侵应急响应(小结)

Linux 应急响应入门——入侵排查.doc

一次真实的应急响应案例(Windows2008)—暴力破解、留隐藏账户与shift粘贴键后门、植入WK程序-应急响应靶场

Linux &Windows应急响应手册.pdf

windows应急流程及应急演练

信息安全应急响应服务流程图.docx

信息安全应急响应系列之网站入侵分析.pptx

网络安全应急响应实践合集.zip

工控安全职业证书技能实践：工控网络安全应急响应规划组织架构.pptx

应急响应服务流程与操作规范.docx

应急响应实战checklist.pdf

应急响应工具集及应急响应实战笔记.zip

23-网络与信息安全应急响应技术规范与指南.pdf

windows应急响应

Windows应急响应排查基础.zip

某大厂应急响应事件标准处理流程

应急响应-应急检查项&命令

重要时期安全保障方案及应急响应指南.zip

[ 应急响应 ] 网络安全应急响应基础流程图 - 网络安全应急响应基础.xmind

常见网络安全事件应急响应指导手册.doc

最新版ISO/IEC 27001:2022、ISO 27002:2022中英文合集

Goby红队版-win-x64-2.4.7版本

Chrome Header Editor 插件

ISO SAE 21434-2021 中文版.pdf

最新资源

应急响应-攻击入侵排查教学PPT