没有合适的资源?快使用搜索试试~ 我知道了~
【应急响应】windows入侵检查流程1
需积分: 0 0 下载量 2 浏览量
2022-08-03
18:56:17
上传
评论 1
收藏 2.37MB PDF 举报
温馨提示
试读
38页
1.1 已监听端 1.2 已建连接 1.3 系统进程 1.1 任务计划 1.2 启动项 1.3 环境变量 1.4 系统服务
资源推荐
资源详情
资源评论
【
应急
响
应
】
windows
⼊
侵
检
查
流
程
应急
响
应
的
时
候
,
我
们
需
要
判
断
⼀个
系统
是
否
有
被
⿊
客
⼊
侵
,
本
篇
给
⼤
家
介
绍
⼀
些
在
应急
响
应
时
Windows
⼊
侵
检
查
的
⼀
些
知
识
点
。
检
查
概
述
由
于
⽆
法
站
在
攻
击
者
视⻆
审
视
其做
过
哪
些
攻
击
⾏
为
,
因
此
标
准化
的
检
查
内
容
可
以
规
避
⾮
标
准
化
的
⻛险
。
例
如
操
作
系统
虽
然
没
有
异常
登
录
⽇
志
,
但
如
果
不
检
查
操
作
系统
⽤
户
即
会
存
在
遗
漏
从
⽽
产
⽣
⻛
险
,
同
时
也
可
规
避
上
次检
查
ab
内
容
,
本
次检
查
bc
内
容
的
⾮
标
准化
⻛险
。
因
此
⽆
论
每
个
⼈
的
标
准
是
否
统
⼀,
取
⻓
补
短
逐
渐
完
善
⾃
⼰
的
标
准化
是
建
议
进
⾏
的
。
windows
操
作
系统
⼊
侵
检
查
流
程
图
如
下
所
示
:
现
象
检
查
可
通过
监
测
告
警
、
⽇
常
巡
检
等
主
动
机
制
发
现
存
在
的
异常
事件
,
如
果
没
有
主
动
发
现
,
则
只
能
在
安
全
事件
发
⽣
后
被
动
发
现
以
下
说
明
在
被
⼊
侵
后
对
可
能
存
在
的
异常
现
象
进
⾏
检
查
安
全
事件
发
⽣
后
被
动
发
现
。
以
下
说
明
在
被
⼊
侵
后
对
可
能
存
在
的
异常
现
象
进
⾏
检
查
。
现
象
检
查
发
现
的
异常
程
序
不
可
直
接
删
除
,
应
先
验
证
异常
进
程
是
否
存
在
⾃
我
守
护
机
制
,
否
则
安
全
事件
⽆
法
得
到
根
除
。
1.1
已
监
听
端
⼝
已
监
听
端
⼝
并
⾮
⼀个
独
⽴
的
对
象
,
⽽
是
和
进
程
相
关
联
,
进
程
如
果
需
要
对
外
提
供
访
问
接
⼝
,
则
必
须
通过
监
听
端
⼝
的
⽅
式
对
外
开
放
,
常
⽤
于
在
内
⽹
中
部
署
正
向后
⻔
程
序
。
注
意
点
:
1
在
操
作
系统
初
始
化
正
常
运
⾏
后
,
建
议记
录
已
监
听
端
⼝
的
基
线
值
,
供
⽇
常
巡
检
使
⽤
;
2
受
操
作
系统
、
关
键
路
径
中
的
⽹络
层
访
问
控
制
影
响
。
例
如
检
查
已
监
听
端
⼝
是
否
存
在
异常
。
则
运
⾏
cmd
命
令
⾏
,
使
⽤
netstat -ano |
fi
ndstr LIST
命
令
检
查
已
监
听
端
⼝
。
示
例
:
点
击
【
开
始
菜
单
】
,
搜
索
框
中
输
⼊
【
cmd
】
,
右
键
点
击
【
cmd.exe
】
程
序
,
选
择
【
以
管
理
员
身
份
运
⾏
】。
使
⽤
netstat -ano |
fi
ndstr LIST
命
令
检
查
已
监
听
端
⼝
。
含
义
如
下:
1
左
1
列
,
程
序
协
议
;
2
左
2
列
,
本
地
监
听
地址
和
端
⼝
;
3
左
3
列
,
外
部
地址
(
留
空
);
4
左
4
列
,
状
态
为
监
听
;
5
左
5
列
,
程
序
pid
。
可
根
据
已
知
程
序
不
会
监
听
的
端
⼝
进
⾏
判
断
是
否
存
在
异常
,
并
根
据
该
链
接
的
pid
进
⾏
深
⼊分
析
。
1.2
已
建
⽴
连
接
已
建
⽴
连
接
分
为
⼊
站
连
接
和
出
站
连
接
,
⼊
站
意
为
访
问
操
作
系统
本
地
的
⽅
向
,
出
站
意
为
操
作
系
统
访
问
外
部
的
⽅
向
。
注
意
点
:
1
受
操
作
系统
、
关
键
路
径
中
的
⽹络
层
访
问限
制
影
响
;
2
服
务
端
如
存
在
主
动
外
联
则
需
要
重
点
检
查
。
例
如
检
查
已
建
⽴
连
接
是
否
存
在
异常
。
则
使
⽤
netstat -ano |
fi
ndstr EST
命
令
检
查
已
建
⽴
连
接
。
示
例
示
例
:
查
询
结
果
,
可
根
据
⾮
常
规
连
接
判
断
是
否
存
在
异常
,
并
根
据
该
链
接
的
pid
进
⾏
深
⼊分
析
:
1.3
系统
进
程
cpu
资
源
被
占
满
、
异常
的
已
监
听
端
⼝
、
异常
的
已
建
⽴
连
接
在
深
⼊分
析时
都
会
检
查
系统
进
程
。
注
意
点
:不
建
议
使
⽤
任
务
管
理
器
进
⾏
系统
进
程
检
查
,
因
为
可
供
分
析
的
维
度
较
少
,且
容
易
被
进
程
名
欺
骗
,
操
作
系统
允
许
相
同名
称
但
不
同
执
⾏
路
径
的
进
程
同
时
存
在
。
例
如
检
查
系统
进
程
是
否
存
在
异常
,
使
⽤
以
下
命
令
获
取
系统
进
程
详
细
信
息
。
wmic process get
caption,commandline,creationDate,executablepath,handle,handleCount
>c:\yanlian\porcess.txt
示
例
:
在
cmd
命
令
⾏
中
复
制
以
上
命
令
并
回
⻋
执
⾏
。
打
开
C:\yanlian\process.txt
,
可
看
到
6
列内
容
,
含
义
如
下
所
示
:
1 caption
:
进
程
名
;
2 commandline
:
进
程
名
、
程
序
执
⾏
路
径
、
进
程
执
⾏
参
数
;
3 creationDate
:
进
程
启
动
时
间
(
格
式
为
:
年
⽉
⽇
时
分
秒
);
4 executablepath
:
程
序
执
⾏
路
径
;
5 handle
:
进
程
pid
;
6 handleCount
:
该
进
程
的
⽗
进
程
pid
。
可
根
据
进
程
名
、
进
程
执
⾏
参
数
、
进
程
启
动
时
间
、
程
序
执
⾏
路
径
判
断
是
否
存
在
异常
,
并
根
据
异
常
点
进
⾏
深
⼊分
析
。
持
久
化
检
查
如
通过
现
象
检
查
发
现
异常
程
序
,
则
可
以
通过
停
⽌
运
⾏该
进
程
的
⽅
式
,
判
断
其
是
否
会
重
新
启
动
。
1.1
任
务
计
划
任
务
计
划
可
以
将
任何
脚
本
或
程
序
定
时
启
动
。
如
被
⿊
客
利
⽤
则
会
充
当
恶意
程
序
的
守
护
机
制
。
注
意
点
:不
建
议
使
⽤
图
形
化
任
务
计
划
程
序
进
⾏
检
查
,
因
为
数
量
、
层
级
较
多
不
⽅
便
检
查
。
检
查
任
务
计
划
是
否
存
在
异常
的
⽅
法
:
1
使
⽤
schtasks /query /fo LIST /v
>c:\yanlian\schtasks.txt
命
令
获
取
任
务
计
划
;
2
使
⽤
正
则
(Folder|TaskName|Status|Author|Task To Run|Scheduled Task State|Start
Time|Start Date)(.*)
过
滤
任
务
计
划关
键
字
段
;
3
使
⽤
正
则
S D ( *)
和
S D $0\
分割
不
同
任
务
计
划
剩余37页未读,继续阅读
资源评论
林祈墨
- 粉丝: 31
- 资源: 326
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
最新资源
- 基于python的高性能爬虫程序,使用了多线程+缓存+xpath实现的,这里以彼-岸图库为例,实现,仅用于学习交流
- 中分辨率成像光谱仪(MODIS)烧毁面积产品信息MODIS-C6-BA-User-Guide-1.2.pdf
- Screenshot_20240427_172613_com.huawei.browser.jpg
- 关于学习Python的相关资源网站链接及相关介绍.docx
- (HAL库)基于STM32F103C8T6的温控PID系统[Dht11、ESP8266、无线透传、L298N……]
- VoLTE高丢包优化指导书.xlsx
- Rust资源文件.zip
- 前后端分离实践:使用 React 和 Express 搭建完整登录注册流程
- gradle-publish-to-MavenLocal.zip
- 10份网络优化创新案例.zip
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功