查看表征异常

系统卡慢、宕机、CPU和内存占用高、网络拥塞或断网、磁盘空余空间无理由大幅度缩小等,根据以上表征,可以初步猜测系统面临的问题。

windows 下查看系统基本信息

PS C:\Users\bobac\Desktop> systeminfo

windows 下查看CPU和内存消耗:



根据下图可以进行倒序排列



或者使用命令

PS C:\Users\bobac\Desktop> tasklist /V > 1.txt

windows 下查看网络通信情况

入侵点异常排查

看连接

PS C:\Users\bobac\Desktop> netstat -abo | findstr TCP

  TCP    0.0.0.0:135            WIN-8JQH4CQEJIR:0      LISTENING       708

  TCP    0.0.0.0:445            WIN-8JQH4CQEJIR:0      LISTENING       4

  TCP    0.0.0.0:49152          WIN-8JQH4CQEJIR:0      LISTENING       376

  TCP    0.0.0.0:49153          WIN-8JQH4CQEJIR:0      LISTENING       760

  TCP    0.0.0.0:49154          WIN-8JQH4CQEJIR:0      LISTENING       884

  TCP    0.0.0.0:49155          WIN-8JQH4CQEJIR:0      LISTENING       484

  TCP    0.0.0.0:49156          WIN-8JQH4CQEJIR:0      LISTENING       1716

  TCP    0.0.0.0:49157          WIN-8JQH4CQEJIR:0      LISTENING       492

  TCP    172.16.204.128:139     WIN-8JQH4CQEJIR:0      LISTENING       4

  TCP    [::]:135               WIN-8JQH4CQEJIR:0      LISTENING       708

  TCP    [::]:445               WIN-8JQH4CQEJIR:0      LISTENING       4

  TCP    [::]:49152             WIN-8JQH4CQEJIR:0      LISTENING       376

  TCP    [::]:49153             WIN-8JQH4CQEJIR:0      LISTENING       760

  TCP    [::]:49154             WIN-8JQH4CQEJIR:0      LISTENING       884

  TCP    [::]:49155             WIN-8JQH4CQEJIR:0      LISTENING       484

  TCP    [::]:49156             WIN-8JQH4CQEJIR:0      LISTENING       1716

  TCP    [::]:49157             WIN-8JQH4CQEJIR:0      LISTENING       492

PS C:\Users\bobac\Desktop>

看进程

PS C:\Users\bobac\Desktop> tasklist | findstr 1716

svchost.exe                   1716 Services                   0     18,232 K

PS C:\Users\bobac\Desktop>

看服务

PS C:\Users\bobac\Desktop> tasklist /SVC

映像名称                       PID 服务

========================= ======== ============================================

System Idle Process              0 暂缺

System                           4 暂缺

smss.exe                       244 暂缺

csrss.exe                      324 暂缺

wininit.exe                    376 暂缺

services.exe                   484 暂缺

lsass.exe                      492 SamSs

lsm.exe                        500 暂缺

svchost.exe                    600 DcomLaunch, PlugPlay, Power

vmacthlp.exe                   668 VMware Physical Disk Helper Service

svchost.exe                    708 RpcEptMapper, RpcSs

svchost.exe                    760 AudioSrv, Dhcp, eventlog, lmhosts, wscsvc

svchost.exe                    852 AudioEndpointBuilder, CscService, Netman,

                                   PcaSvc, TrkWks, UxSms

svchost.exe                    884 Appinfo, Browser, gpsvc, IKEEXT, iphlpsvc,

                                   LanmanServer, ProfSvc, Schedule, SENS,

                                   ShellHWDetection, Themes, Winmgmt, wuauserv

svchost.exe                    272 EventSystem, netprofm, nsi, sppuinotify,

                                   WdiServiceHost

svchost.exe                    496 CryptSvc, Dnscache, LanmanWorkstation,

                                   NlaSvc

spoolsv.exe                   1144 Spooler

svchost.exe                   1172 BFE, DPS, MpsSvc

VGAuthService.exe             1332 VGAuthService

vmtoolsd.exe                  1392 VMTools

svchost.exe                   1668 bthserv

svchost.exe                   1716 PolicyAgent

TPAutoConnSvc.exe             1808 TPAutoConnSvc

dllhost.exe                   1988 COMSysApp

msdtc.exe                     1212 MSDTC

WmiPrvSE.exe                  1064 暂缺

SearchIndexer.exe             2888 WSearch

svchost.exe                   2896 FontCache

sppsvc.exe                    1868 sppsvc

ManagementAgentHost.exe       2492 VMwareCAFManagementAgentHost

svchost.exe                    904 WinDefend

csrss.exe                     3656 暂缺

winlogon.exe                  3668 暂缺

taskhost.exe                  2708 暂缺

dwm.exe                       3844 暂缺

explorer.exe                  3836 暂缺

TPAutoConnect.exe             3212 暂缺

conhost.exe                   3980 暂缺

vmtoolsd.exe                  2500 暂缺

cmd.exe                       2744 暂缺

conhost.exe                   2768 暂缺

PCHunter64.exe                1068 暂缺

taskmgr.exe                   1352 暂缺

powershell.exe                3360 暂缺

conhost.exe                   2640 暂缺

notepad.exe                   2652 暂缺

tasklist.exe                  3356 暂缺

PS C:\Users\bobac\Desktop>

看动态链接库

C:\Windows\system32>tasklist /M > 2.txt

看日志

进程日志和登录日志

路径 C:\Windows\System32\winevt\Logs

登录日志

系统日志

服务日志或WEB日志

请配置syslog,WEB日志也是文件,可以使用自动化分析工具

看注册表

查看启动项和计划任务

看账户

看防火墙配置

Windows应急响应操作手册的更多相关文章

  1. 【应急响应】Windows应急响应入门手册

    0x01 应急响应概述   首先我们来了解一下两个概念:应急响应和安全建设,这两者的区别就是应急响应是被动响应.安全建设是主动防御.  所谓有因才有果,既然是被动的,那么我们在应急响应的时候就得先了解 ...

  2. Windows应急响应和系统加固(2)——Windows应急响应的命令使用和安全检查分析

    Windows应急响应的命令使用和安全检查分析 1.获取IP地址: ·ipconfig /all,获取Windows主机IP地址信息: ·ipconfig /release,释放网络IP位置: ·ip ...

  3. Windows应急响应常识

    Windows 应急响应 常见事件ID 1102 清理审计日志 4624 账号登陆成功 4625 账号登陆失败 4672 授予特殊权限 4720 创建用户 4726 删除用户 4728 将成员添加到启 ...

  4. 【命令汇总】Windows 应急响应

    日期:2019-06-07 16:11:49 作者:Bay0net 介绍:Windows 应急响应.取证及溯源相关内容学习记录 0x00.前言 常见的应急分类: web入侵:网页挂马.主页篡改.Web ...

  5. windows应急响应入侵排查思路

    0x00 前言 ​ 当企业发生黑客入侵.系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解 ...

  6. WinDows应急响应基础

    文件排查 开机启动有无异常文件 msconfig 敏感的文件路径 %WINDIR% %WINDIR%\SYSTEM32\ %TEMP% %LOCALAPPDATA% %APPDATA% 用户目录 新建 ...

  7. 5.Windows应急响应:挖矿病毒

    0x00 前言 随着虚拟货币的疯狂炒作,挖矿病毒已经成为不法分子利用最为频繁的攻击方式之一.病毒 传播者可以利用个人电脑或服务器进行挖矿,具体现象为电脑CPU占用率高,C盘可使用空间骤降, 电脑温度升 ...

  8. 4.Windows应急响应:勒索病毒

    0x00 前言 勒索病毒,是一种新型电脑病毒,主要以邮件.程序木马.网页挂马的形式进行传播.该病毒性质恶劣. 危害极大,一旦感染将给用户带来无法估量的损失.这种病毒利用各种加密算法对文件进行加密,被感 ...

  9. 3.Windows应急响应:蠕虫病毒

    0x00 前言 蠕虫病毒是一种十分古老的计算机病毒,它是一种自包含的程序(或是一套程序),通常通过网络途径传播, 每入侵到一台新的计算机,它就在这台计算机上复制自己,并自动执行它自身的程序.常见的蠕虫 ...

随机推荐

  1. springboot - Constructor、@Autowired、@PostConstruct分析

    1.Constructor 构造方法 2.@Autowired 依赖注入 3.@PostConstruct 在依赖注入完成后被自动调用 4. 三者的顺序: 从依赖注入的字面意思就可以知道,要将对象p注 ...

  2. 磁盘格式化/磁盘挂载/手动增加swap空间

    4.5/4.6 磁盘格式化 4.7/4.8 磁盘挂载 4.9 手动增加swap空间 磁盘格式化 查看centos7支持的文件系统格式 cat  /etc/filesystem,centos7默认的文件 ...

  3. 【主成份分析】PCA推导

    ### 主成份分析(Pricipal components analysis PCA) 假设空间$R^{n}$中有m个点{$x^{1},......,x^{n}$},希望压缩,对每个$x^{i}$都有 ...

  4. Java多线程学习篇——线程的开启

    随着开发项目中业务功能的增加,必然某些功能会涉及到线程以及并发编程的知识点.笔者就在现在的公司接触到了很多软硬件结合和socket通讯的项目了,很多的功能运用到了串口通讯编程,串口通讯编程的安卓端就是 ...

  5. Android ScrollView 和ListView 一起使用的问题汇总

    1.ScrollView 嵌套 ListView  ,touch事件的截获问题. 参考 http://www.cnblogs.com/lqminn/archive/2013/03/02/2940194 ...

  6. 跨域、跨服务器调用时候session丢失的问题

    最近新进一个公司,做的项目是手机支付系统.由于涉及到金钱相关的,所以安全性要求特别的高.项目分了很多个子系统,在部署(测试)的时候是每个Tomcat上面只放一个子系统.比如现在有5个子系统,那么就会对 ...

  7. python 源码安装

    1)下载python源码包 http://mirrors.sohu.com/python/3.5.2/Python-3.5.2.tgz 2)安装相关依赖  yum install zlib-devel ...

  8. IOS私有API的使用(转)

    最近在做企业级程序,需要搞设备的udid等信息,但是ios7把udid私有化了,不公开使用.所以研究了一下ios的私有api.   调查了一下文章,发现这方面的文章不多,国内更是不全,高手们都懒得写基 ...

  9. 双调旅行商问题 (Bitonic TSP)

    问题描写叙述: 上述问题能够使用动态规划的方法来解决. 以下是解决思路的详细介绍: 1. 最优子结构: 如果d[i][j]表示从起点1出发到达i及j两个顶点的最短路程之和. 为此能够如果K为此段路程上 ...

  10. 06-Linux RPM 命令参数使用详解

    rpm 执行安装包二进制包(Binary)以及源代码包(Source)两种.二进制包可以直接安装在计算机中,而源代码包将会由 RPM自动编译.安装.源代码包经常以src.rpm作为后缀名. 常用命令组 ...