应急响应-windows篇

最新推荐文章于 2025-08-22 11:57:00 发布

原创最新推荐文章于 2025-08-22 11:57:00 发布 · 206 阅读

4 ·

CC 4.0 BY-SA版权

文章标签：

#安全

常见的应急响应事件分为

web入侵：网页挂马、主页篡改、websehll

系统入侵：病毒木马、勒索软件、远程控制后门

网络入侵：DDOS攻击、DNS劫持、ARP欺骗

入侵排查思路

检查系统账号安全

1、检查服务器是否存在弱口令，远程端口端口是否对公王开放

2、查看服务器是否存在可疑账号、新增账号

net user test$ passwd /add //添加一个隐藏的用户，在用户名后面加$就是隐藏用户

net localgroud adminstrators test$ /add //讲test$这个用户分配到管理组

因为我的电脑没装windows的虚拟机就不演示了

然后如果要进行克隆就需来到

计算机\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users

这个目录下

讲root的uid给test$然后将上面000开头的删掉换上替换的这样test$就有的root权限。

3、查看服务器是否存在隐藏账号、克隆账号。

4、结合日志，查看管理员登录时间、用户名是否存在异常。

2、进程

检查方法：

a、开始 -- 运行 -- 输入 msinfo32 命令，依次点击 "软件环境 -- 正在运行任务" 就可以查看到进程的详细信息，比如进程路径、进程ID、文件创建日期以及启动时间等。

日志分析

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

小帅一把手

关注关注

7
点赞
踩
4

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
打赏
打赏
打赏举报

举报

43-1 应急响应 - Windows入侵排查实验

weixin_43263566的博客

05-27

569

1）我这里使用CS随便生成一个木马，然后复制到windows虚拟机中运行2）然后在windows靶机中给这个木马文件设置计划任务，设置教程随便百度都能找到，这里就不说了。

【应急响应】Windows应急响应手册（勒索病毒篇）

李同學的安全圈

07-19

456

本篇内容围绕勒索病毒事件进行分析，通过使用技术手段来确定勒索病毒家族并寻找解密方法，实战中过程中可参考文中部分内容提供一些帮助！

参与评论您还未登录，请先登录后发表或查看评论

【应急响应】Windows应急响应 - 基础命令篇

网络安全从业者的学习笔记

07-02

4782

在如今的数字化时代，Windows系统面对着越来越复杂的网络威胁和安全挑战。本文将深入探讨在Windows环境下的实战应急响应策略。我们将重点关注实际应急响应流程、关键工具的应用，以及如何快速准确地识别和应对安全事件。通过分享实际案例分析，旨在帮助网络安全从业者提升应急响应能力，有效保护关键资产和数据的安全。

应急响应篇-Windows 基本排查

cavathon的博客

03-17

647

逐个排查Users下所有以00000开头的项，如果F值与000001F4的F值相同，则可能为克隆用户。打开计算机管理依次找到系统工具 --> 本地用户和组 --> 用户可查看隐藏用户。打开注册表编辑窗口，选择HKEY_LOCAL_MACHINE下的SAM选项，勾选。命令行中输入msinfo打开系统信息，可查看详细的系统信息。课显示用户账户信息，但无法查看到以$结尾的隐藏用户。命令，点击启动，可查看启动项详细信息。，即可查看任务计划的详细信息。可以查看目标用户的详细信息。通过注册表查看启动项。

应急响应篇-Windows 文件排查

cavathon的博客

03-21

689

也可以对文件的创建时间、修改时间、访问时间进行排查，如果文件的相关时间存在逻辑问题，就极有可能是恶意文件。也可通过Amcache.hve文件查询应用程序的执行路径，上次执行时间和SHA1值，在运行窗口中输入。对Webshell的排查可使用相关工具，如D盾、HwsKill等。使用，查找2024/2/19之后的exe新建文件进行搜索。可打开Amcache.hve所在文件夹。

windows应急响应篇

weixin_64312503的博客

05-21

355

近年来，随着互联网的发展网络安全攻击事件也是大幅度增多，如何在第一时间发现攻击事件，并实施应急处置，能够有效的将损失降到最低。在实施应急响应的过程中，需要从多方面进行联动工作，具体的流程和依据可以参考《GB∕T 38645-2020 信息安全技术网络安全事件应急演练指南》，本篇主要以windows下应急响应的基础技术手段进行介绍。以上便是我对windows应急响应过程中常用的一些功能和分析方法，从9个方面进行了描述。

应急响应：Windows权限维持--后门篇

鹿鸣天涯

06-22

910

利用COM劫持技术，最为关键的是dll的实现以及CLSID的选择，通过修改CLSID下的注册表键值，实现对CAccPropServicesClass和MMDeviceEnumerator劫持，而系统很多正常程序启动时需要调用这两个实例。如果攻击者能够控制其中的某一个目录，并且放一个恶意的DLL文件到这个目录下，这个恶意的DLL便会被进程所加载，从而造成代码执行。管理员在平时运维过程应当保持警惕，掌握一定的入侵排查技巧，及时进行系统补丁更新，定期对服务器安全检查，才能有效地预防后门。

应急响应Windows篇

个人学习参考

08-20

1081

例如：随着人工智能的不断发展，机器学习这门技术也越来越重要，很多人都开启了学习机器学习，本文就介绍了机器学习的基础内容。提示：以下是本篇文章正文内容，下面案例可供参考。

Windows应急响应篇

weixin_50464560的博客

05-04

2380

转载至奇安信攻防社区-Windows应急响应篇 Windows应急响应篇本篇主要以windows下应急响应的基础技术手段进行介绍。一、概述：近年来，随着互联网的发展网络安全攻击事件也是大幅度增多，如何在第一时间发现攻击事件，并实施应急处置，能够有效的将损失降到最低。在实施应急响应的过程中，需要从多方面进行联动工作，具体的流程和依据可以参考《GB∕T 38645-2020 信息安全技术网络安全事件应急演练指南》，本篇主要以windows下应急响应的基础技术手段进行介绍。二、技术分析 1、

第一章-应急响应-Linux 日志分析-玄机靶场

星河梦瑾的博客

10-30

1833

小计下玄机靶场的应急响应第一章的Linux 日志分析挑战思路。

网络安全应急响应----2、Windows入侵排查

七天

03-17

6809

文章目录一、系统排查1、系统信息2、用户信息3、启动项4、计划任务5、服务自启动二、进程、端口排查1、进程排查2、端口排查三、文件痕迹排查1、敏感目录文件2、基于时间点查找四、日志分析1、系统日志2、安全性日志3、应用程序日志五、内存分析六、流量分析一、系统排查 1、系统信息 //可以显示本地计算机的硬件资源、组件、软件环境、正在运行的任务、服务、系统驱动程序、加载模块、启动程序等。 C:\Users\test>msinfo32 //Microsoft系统信息工具：Msinfo32.

应急响应-挖矿病毒

qq_45694932的博客

04-14

331

kill pid -9 如果删不掉检查文件是否加锁 lsattr 、解锁chattr。find / -name 进程名去查找进程目录。netstat -anpt 查看外部连接。出现服务器卡顿，CPU拉满，网络阻塞。观察网络连接，cpu，gpu的峰值。crontab -l 计划任务查询。top 检查进程信息。

8、应急响应-战前溯源反制&主机蜜罐系统&HFish&HIDS&Elkeid&Wazuh

m0_65842464的博客

01-31

2028

攻击者对服务器存在着各种威胁行为，作为安全人员，可以在受到攻击前提前部署好蜜罐-Hfish系统或HIDS-Wazuh系统，又或是HlDS-Elkeid系统，诱捕攻击者并进行溯源分析。通过在蜜罐系统中部署诱饵，安全人员可以了解攻击者的行为和攻击手段，为溯源反制提供依据。

2025年游戏盾SDK动态加密技术全景解析：从防御破解到重塑游戏安全基石

最新发布

2403_86962125的博客

08-22

491

2025年的游戏安全战争，本质是“加密强度”与“破解成本”的博弈。游戏盾SDK通过动态密钥协商×协议混淆×多层加密×AI自适应的四维体系，将破解成本提升至黑产无法承受的高度。当攻击者的ROI（投资回报率）趋于零时，你的游戏才真正安全。立即行动现有项目评估：使用抓包工具测试当前游戏协议是否明文传输逐步升级：从关键接口（登录/支付）开始部署动态加密长期规划：制定向后量子密码迁移的路线图。

解决远程桌面连接“为安全考虑，已锁定该用户帐户，原因是登录尝试或密码更改尝试过多”问题

goolean的专栏

08-21

241

1、登陆阿里云后台通过ECS的VNC连接，不要直接输入用户名密码，那种还是不让登陆，直接开始vnc连接，出现window登陆画面后，再输入密码。3.依次选择：计算机配置→Windows设置→安全设置→帐户策略→帐户锁定策略。登陆后，运行 gpedit.msc 打开组策略。5.改为“0”，会提示这个，忽略，确定即可。鼠标点不动确定，直接按回车键就可以了。4.双击“帐户锁定阈值”

01 网络信息内容安全--绪论

爱学习爱运动的专栏

08-21

524

【【图解贝叶斯公式】1小时吃透大学四年没整明白的贝叶斯分析推导及垃圾邮件过滤实例（朴素贝叶斯/机器学习算法/MCMC算法/人工智能高数）】https://www.bilibili.com/video/BV1v3VUzjEqN?–人工智能/机器学习/深度学习】https://www.bilibili.com/video/BV1TAtwzTE1S?–人工智能/机器学习/深度学习】https://www.bilibili.com/video/BV1TAtwzTE1S?【都2022年了，居然还不懂社会网络分析？

智能网联汽车的软肋：从ECU漏洞看汽车的联网安全

2501_91602431的博客

08-21

938

随着电动化和智能化的发展，汽车已成为高度依赖软件运行的复杂系统，网络安全风险也随之激增。本文从ECU架构入手，结合多起真实攻击案例，解析现代汽车面临的主要威胁，并探讨ISO 21434等安全标准如何指导软件测试和验证，帮助厂商构建更具韧性的车辆系统。

C++智能指针详解：告别内存泄漏，拥抱安全高效

Zhihuiguoz的博客

08-20

1527

本文系统介绍了C++智能指针的设计原理与使用场景。文章首先分析了手动管理内存的痛点（内存泄漏、野指针等），引出RAII原则和智能指针的价值。重点讲解了四种智能指针：auto_ptr（管理权转移，已弃用）、unique_ptr（独占所有权）、shared_ptr（引用计数）和weak_ptr（解决循环引用）。通过代码示例演示了各智能指针的特性和模拟实现，特别强调了shared_ptr的线程安全问题（原子操作）及定制删除器的使用。最后详细分析了循环引用问题及weak_ptr的解决方案。

Windows应急响应手册：知识点与场景分析

这篇文档是关于Windows系统应急响应的详细指南，涵盖了数百页的专业知识，旨在帮助网络安全专家和IT管理员处理各种紧急情况。应急响应是网络安全的重要组成部分，它涉及在遭受攻击或面临系统危机时迅速、有效地采取...