windows总是停止响应（windows应急响应一）

呐愛待續 2022-11-24 11:25:28

收藏赞分享

说到应急响应，都是根据已知的问题来进行应急处理的。全面的应急响应无法在第一时间确定，从而进行已知的事件处理，是作为第一步的开始。

那么在第一时间确认安全事件，根据安全事件是否需要断网。进行数据方盒处理，启用网络数据分解装载转输，在一定时间内，保留有价值的镜头（不是摄像头）。从而更好的了解整个安全事件还原处理。

1.进程/用户/端口/密码/日志/启动项/服务项/计划任务/注册表/其他

0.01 tasklist命令

tasklist 查看本机进程这里主要看的就是一个内存的使用率

windows总是停止响应（windows应急响应一）(1)

0.02 PID找到程序进程我们可以根据PID找到异常进程关闭或者找到绝对路径

C:\Users\Administrator>wmic process where processid=68 get processid,executablepath,name ExecutablePath Name ProcessId C:\Windows\system32\cmd.exe cmd.exe 68

68就是PID数字

windows总是停止响应（windows应急响应一）(2)

也可以查看端口知晓PID

C:\Users\Administrator>netstat -nao | findstr 443

windows总是停止响应（windows应急响应一）(3)

最后一列就是PID

0.03 杀死进程

可以直接狙击进程

C:\Users\Administrator>taskkill /PID 6464 /F 或者 ntsd -c q -p 6464 wmic process where name="cmd.exe" delete wmic process where processid=6464 call terminate

杀死进程的方法有很多

windows总是停止响应（windows应急响应一）(4)

0.04 找到可疑进程可以进行在线病毒分析

在线病毒分析列表：

HTTPS://habo.QQ.com/ 腾讯哈勃分析系统

https://www.virustotal.com/gui/home/upload virustotal

https://www.virscan.org/language/zh-cn/ VirSCAN

https://s.threatbook.cn/ 微步云沙箱

https://virusscan.jotti.org/ Jotti的恶意软件扫描系统

在线的病毒查杀都是看谁的病毒库特征码更新快你也可以多找几个进行验证

0.05 用户账户

0.051 net user 查看系统用户

C:\Users\Administrator>net user \\YDKVDLXFIN0M3U6 的用户帐户 ------------------------------------------------------------------------------- Administrator DefaultAccount Guest mysql WDAGUtilityAccount www

0.052 我的电脑（此电脑）右键属性-控制面板-用户账户

windows总是停止响应（windows应急响应一）(5)

有些用户是隐藏了的那么使用命令看到的就比较多而这个只显示了超级管理员用户

0.053 我的电脑（此电脑）右键属性-管理-本地用户和组-用户

也可以使用cmd命令打开 lusrmgr.msc

windows总是停止响应（windows应急响应一）(6)

这里面看到的跟我们cmd里面看到的是一样的当然这里面看到的也不一定是完整的这里留一个问题给大家？

0.0531查看当前已经登录用户

windows总是停止响应（windows应急响应一）(7)

C:\Users\Administrator>query user //查看当前已经登录的用户信息用户名会话名 ID 状态空闲时间登录时间 >administrator console 1 运行中无 2022/5/28 星期六 22:47

C:\Documents and Settings

C:\Users 这个目录里面可以看到新建用户的文件夹

可以用logoff ID 命令注销已登录用户

windows总是停止响应（windows应急响应一）(8)

0.054 注册表里面的用户账户

wir r 输入regedit 打开注册表

编辑-查找-administrator(实例) 根据实际情况做出调整

0.541示例一

windows总是停止响应（windows应急响应一）(9)

计算机\HKEY_CLASSES_ROOT\*\shell\runas\command cmd.exe /c takeown /f "%1" && icacls "%1" /grant administrators:F

上面这段的意思就是让当前用户成为当前文件夹的所有者获得超级管理员组权限

0.542示例二

windows总是停止响应（windows应急响应一）(10)

计算机\HKEY_CLASSES_ROOT\.doc\WPS.Doc.6\ShellNew C:\Users\Administrator\AppData\Local\Kingsoft\WPS Office\11.1.0.8840\office6\mui\zh_CN\templates\newFile.wps

上面这段就是一个wps的新建文件模板绝对路径算是残留在注册表

还有一些杀毒软件也会在注册表添加administrators 组权限值

0.0543 如果你不想动手那么可以用工具看下

PCHunter 【PC Hunter是一个Windows系统信息查看软件，同时也是一个手工杀毒辅助软件。】
D盾【D盾(Shield)是一款基于SDP(软件定义边界)技术和零信任安全理念,整合公有云、高防等资源,的云分布式抗DDoS产品】0.0544 Guest 是否禁用Guest如无需要禁用

0.6 端口

这里普及一下端口

常用端口号：

代理服务器常用以下端口：

. HTTP协议代理服务器常用端口号：80/8080/3128/8081/9080
. SOCKS代理协议服务器常用端口号：1080
. FTP（文件传输）协议代理服务器常用端口号：21
. Telnet（远程登录）协议代理服务器常用端口：23
HTTP服务器，默认的端口号为80/tcp（木马Executor开放此端口）；
HTTPS（securely transferring web pages）服务器，默认的端口号为443/tcp 443/udp；
Telnet（不安全的文本传送），默认端口号为23/tcp（木马Tiny Telnet Server所开放的端口）；
FTP，默认的端口号为21/tcp（木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口）；
TFTP（Trivial File Transfer Protocol ），默认的端口号为69/udp；
SSH（安全登录）、SCP（文件传输）、端口重定向，默认的端口号为22/tcp；
SMTP Simple Mail Transfer Protocol (E-mail)，默认的端口号为25/tcp（木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口）；
POP3 Post Office Protocol (E-mail) ，默认的端口号为110/tcp；
WebLogic，默认的端口号为7001；
WebSphere应用程序，默认的端口号为9080；
WebSphere管理工具，默认的端口号为9090；
JBOSS，默认的端口号为8080；
TOMCAT，默认的端口号为8080；
WIN2003远程登陆，默认的端口号为3389；
Symantec AV/Filter for MSE ,默认端口号为 8081；
Oracle 数据库，默认的端口号为1521；
Oracle EMCTL，默认的端口号为1158；
Oracle XDB（ XML 数据库），默认的端口号为8080；
Oracle XDB FTP服务，默认的端口号为2100；
MS SQL*SERVER数据库server，默认的端口号为1433/tcp 1433/udp；
MS SQL*SERVER数据库monitor，默认的端口号为1434/tcp 1434/udp；
QQ，默认的端口号为1080/udp以上就是常见的端口情况0.7 日志分析 wir r 输入eventvwr.msc 打开事件管理器
windows日志应用程序和服务日志应用程序安全 Setup 系统 Forwarded Events