windows总是停止响应(windows应急响应一)
说到应急响应,都是根据已知的问题来进行应急处理的。全面的应急响应无法在第一时间确定,从而进行已知的事件处理,是作为第一步的开始。
那么在第一时间确认安全事件,根据安全事件是否需要断网。进行数据方盒处理,启用网络数据分解装载转输,在一定时间内,保留有价值的镜头(不是摄像头)。从而更好的了解整个安全事件还原处理。
1.进程/用户/端口/密码/日志/启动项/服务项/计划任务/注册表/其他
0.01 tasklist命令
tasklist 查看本机进程 这里主要看的就是一个内存的使用率
0.02 PID找到程序进程 我们可以根据PID找到异常进程 关闭或者找到绝对路径
C:\Users\Administrator>wmic process where processid=68 get processid,executablepath,name
ExecutablePath Name ProcessId
C:\Windows\system32\cmd.exe cmd.exe 68
68就是PID数字
也可以查看端口知晓PID
C:\Users\Administrator>netstat -nao | findstr 443
最后一列就是PID
0.03 杀死进程
可以直接狙击进程
C:\Users\Administrator>taskkill /PID 6464 /F
或者
ntsd -c q -p 6464
wmic process where name="cmd.exe" delete
wmic process where processid=6464 call terminate
杀死进程的方法有很多
0.04 找到可疑进程 可以进行在线病毒分析
在线病毒分析列表:
HTTPS://habo.QQ.com/ 腾讯哈勃分析系统
https://www.virustotal.com/gui/home/upload virustotal
https://www.virscan.org/language/zh-cn/ VirSCAN
https://s.threatbook.cn/ 微步云沙箱
https://virusscan.jotti.org/ Jotti的恶意软件扫描系统
在线的病毒查杀都是看谁的病毒库特征码更新快 你也可以多找几个进行验证
0.05 用户账户
0.051 net user 查看系统用户
C:\Users\Administrator>net user
\\YDKVDLXFIN0M3U6 的用户帐户
-------------------------------------------------------------------------------
Administrator DefaultAccount Guest
mysql WDAGUtilityAccount www
0.052 我的电脑(此电脑)右键属性-控制面板-用户账户
有些用户是隐藏了的 那么使用命令看到的就比较多 而这个只显示了超级管理员用户
0.053 我的电脑(此电脑)右键属性-管理-本地用户和组-用户
也可以使用cmd命令打开 lusrmgr.msc
这里面看到的跟我们cmd里面看到的是一样的 当然这里面看到的也不一定是完整的 这里留一个问题给大家?
0.0531查看当前已经登录用户
C:\Users\Administrator>query user //查看当前已经登录的用户信息
用户名 会话名 ID 状态 空闲时间 登录时间
>administrator console 1 运行中 无 2022/5/28 星期六 22:47
C:\Documents and Settings
C:\Users 这个目录里面可以看到新建用户的文件夹
可以用logoff ID 命令 注销已登录用户
0.054 注册表 里面的用户账户
wir r 输入regedit 打开注册表
编辑-查找-administrator(实例) 根据实际情况做出调整
0.541示例一
计算机\HKEY_CLASSES_ROOT\*\shell\runas\command
cmd.exe /c takeown /f "%1" && icacls "%1" /grant administrators:F
上面这段的意思就是让当前用户成为当前文件夹的所有者 获得超级管理员组权限
0.542示例二
计算机\HKEY_CLASSES_ROOT\.doc\WPS.Doc.6\ShellNew
C:\Users\Administrator\AppData\Local\Kingsoft\WPS Office\11.1.0.8840\office6\mui\zh_CN\templates\newFile.wps
上面这段就是一个wps的新建文件模板绝对路径 算是残留在注册表
还有一些杀毒软件也会在注册表添加administrators 组权限值
0.0543 如果你不想动手 那么可以用工具看下
- PCHunter 【PC Hunter是一个Windows系统信息查看软件,同时也是一个手工杀毒辅助软件。】
- D盾【D盾(Shield)是一款基于SDP(软件定义边界)技术和零信任安全理念,整合公有云、高防等资源,的云分布式抗DDoS产品】0.0544 Guest 是否禁用Guest如无需要 禁用
0.6 端口
这里普及一下端口
常用端口号:
代理服务器常用以下端口:
- . HTTP协议代理服务器常用端口号:80/8080/3128/8081/9080
- . SOCKS代理协议服务器常用端口号:1080
- . FTP(文件传输)协议代理服务器常用端口号:21
- . Telnet(远程登录)协议代理服务器常用端口:23
- HTTP服务器,默认的端口号为80/tcp(木马Executor开放此端口);
- HTTPS(securely transferring web pages)服务器,默认的端口号为443/tcp 443/udp;
- Telnet(不安全的文本传送),默认端口号为23/tcp(木马Tiny Telnet Server所开放的端口);
- FTP,默认的端口号为21/tcp(木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口);
- TFTP(Trivial File Transfer Protocol ),默认的端口号为69/udp;
- SSH(安全登录)、SCP(文件传输)、端口重定向,默认的端口号为22/tcp;
- SMTP Simple Mail Transfer Protocol (E-mail),默认的端口号为25/tcp(木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口);
- POP3 Post Office Protocol (E-mail) ,默认的端口号为110/tcp;
- WebLogic,默认的端口号为7001;
- WebSphere应用程序,默认的端口号为9080;
- WebSphere管理工具,默认的端口号为9090;
- JBOSS,默认的端口号为8080;
- TOMCAT,默认的端口号为8080;
- WIN2003远程登陆,默认的端口号为3389;
- Symantec AV/Filter for MSE ,默认端口号为 8081;
- Oracle 数据库,默认的端口号为1521;
- Oracle EMCTL,默认的端口号为1158;
- Oracle XDB( XML 数据库),默认的端口号为8080;
- Oracle XDB FTP服务,默认的端口号为2100;
- MS SQL*SERVER数据库server,默认的端口号为1433/tcp 1433/udp;
- MS SQL*SERVER数据库monitor,默认的端口号为1434/tcp 1434/udp;
- QQ,默认的端口号为1080/udp以上就是常见的端口情况0.7 日志分析 wir r 输入eventvwr.msc 打开事件管理器
- windows日志 应用程序和服务日志应用程序 安全 Setup 系统 Forwarded Events
主要看的是日志事件是否丢失断点清除痕迹
- 你可以筛选你想分析的目录 选中事件可以右键 保存选中的事件
- 1.可以保存为*.evtx 事件文件
- xml文件 *.xml
- 文本文件 txt
- CSV文件 *.csv
0.071
可以双击事件 看到常规信息 详细信息
常规信息 简要信息 留意事件 计算机 用户 事件ID
详细信息 哪一步出现错误
咱们主要看的还是详细信息
0.072 使用Log Parser 分析 微软的工具GUI界面 【数据量大的可以使用工具】
https://www.microsoft.com/en-us/download/details.aspx?id=24659
日志解析器是一个强大的通用工具,它提供对基于文本的数据(如日志文件、XML 文件和 CSV 文件)以及 Windows® 操作系统上的关键数据源(如事件日志、注册表、文件系统和 Active Directory®。
双击安装 步骤:
1.下一步
2.勾选 我用一下一步
3.完整安装 complete
4.install 安装
logparser使用方法 先保存所有事件(将所有事件另存为evtx格式)
使用工具步骤 界面
里面的使用方法已经全说明
网格显示指定分析日志csv/iisw3c等都可以
C:\Program Files (x86)\Log Parser 2.2>Logparser.exe -i:EVT -o:DATAGRID "SELECT * FROM C:\log.evtx"
可以看到上面的图片已经整理的非常巴适
未完待续……
,
免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。文章投诉邮箱:anhduc.ph@yahoo.com