什么是应急响应.
一个组织为了 应对 各种网络安全 意外事件 的发生 所做的准备 以及在 事件发生后 所采取的措施 。说白了就是别人攻击你了,你怎么把这个攻击还原,看看别人是怎么攻击的,然后你如何去处理,这就是应急响应。
目录:
什么是应急响应.
应急响应工作流程:
常见的应急响应分类:
病毒处理的方法:
(1)检查系统 账号安全:
(2)检查有没有异常 网络 连接.(检查异常 端 口)
(3)根据上面的进程数 查看异常 进程.
(4)检查对应的进程数 服务.
(5)查看 开机启动项,是否也有异常的.
(6)定时计划.(任务计划)
病毒处理的方法:(工具辅助版)
(1)上传辅助分析工具(PCHunter),然后查看网络 看看有没有连接的.
(2)根据上面的进程数,点击进程 然后进行结束进程.
(3)查看启动项里面有没有,有的话也结束.
应急响应工作流程:
常见的应急响应分类:
病毒处理的方法:
实战案例介绍:当主机存在一个后门木马,正在被远程黑客进行连接,我们需要做的是进行排查出这个后门木马软件,进行关闭,删除,彻底删除后面不会再启动.
入侵排查思路 实战:应急响应:Windows 入侵排查思路.
(1)检查系统 账号安全:
查看黑客有没有添加了账号,添加了 则删除,防止下次黑客下次直接登录.
(2)检查有没有异常 网络 连接.(检查异常 端 口)
netstat -ano -p tcp|findstr "ESTABLISHED"
-o #查看进程数.
-p #指定 tcp 协议.
findstr "ESTABLISHED" #查找监听连接的.
如果没有监听连接的,则可以查找可疑.
netstat -ano -p tcp|findstr "LISTEHING"
-o #查看进程数.
-p #指定 tcp 协议.
findstr "LISTEHING" #查找可疑.
(3)根据上面的进程数 查看异常 进程.
发现是系统文件,删除不了 所以检查服务(4)检查对应的进程数 服务.
services.msc # 打开服务的.(但是里面没有进程数)(所以还是根据上面的那个来)
如果不能直接结束进程,可以使用 CMD 管理员进行结束.
taskkill /pid 844 -f
taskkill /pid 进程数 -f
如果服务里面还有,则可以删除服务.
sc delete 服务名可以根据 进程数,查找是什么文件.
tasklist|findstr 2260
tasklist|findstr 进程数
根据 文件名,来找文件的位置.
wmic process | findstr "文件名"(5)查看 开机启动项,是否也有异常的.
msconfig # cmd 那里点击进行.
(win server 2008 r2 == win7 以 前 的是利用命令)
(win server 2008 r2 == win7 以 后 的是任务管理器看)
(6)定时计划.(任务计划)
病毒处理的方法:(工具辅助版)
(1)上传辅助分析工具(PCHunter),然后查看网络 看看有没有连接的.
(2)根据上面的进程数,点击进程 然后进行结束进程.(随便也删除了进程文件)
(3)查看启动项里面有没有,有的话也结束.
学习链接:06-手工杀毒流程_哔哩哔哩_bilibili
