应急响应:病毒处理的方法---实战案例.(手动版)

news2024/12/21 23:35:57

什么是应急响应.

一个组织为了 应对 各种网络安全 意外事件 的发生 所做的准备 以及在 事件发生后 所采取的措施 。说白了就是别人攻击你了,你怎么把这个攻击还原,看看别人是怎么攻击的,然后你如何去处理,这就是应急响应。


目录:

什么是应急响应.

应急响应工作流程:

常见的应急响应分类:

病毒处理的方法:

(1)检查系统 账号安全:

(2)检查有没有异常 网络 连接.(检查异常 端 口)

(3)根据上面的进程数 查看异常 进程.

(4)检查对应的进程数 服务.

(5)查看 开机启动项,是否也有异常的.

(6)定时计划.(任务计划)

病毒处理的方法:(工具辅助版)

(1)上传辅助分析工具(PCHunter),然后查看网络 看看有没有连接的.

(2)根据上面的进程数,点击进程 然后进行结束进程.

(3)查看启动项里面有没有,有的话也结束.


应急响应工作流程:


常见的应急响应分类:


病毒处理的方法:


实战案例介绍:当主机存在一个后门木马,正在被远程黑客进行连接,我们需要做的是进行排查出这个后门木马软件,进行关闭,删除,彻底删除后面不会再启动.

入侵排查思路 实战:应急响应:Windows 入侵排查思路.


(1)检查系统 账号安全:

查看黑客有没有添加了账号,添加了 则删除,防止下次黑客下次直接登录.


(2)检查有没有异常 网络 连接.(检查异常 端 口

netstat -ano -p tcp|findstr "ESTABLISHED" 

-o                           #查看进程数.
-p                           #指定 tcp 协议.
findstr "ESTABLISHED"        #查找监听连接的.


如果没有监听连接的,则可以查找可疑.

netstat -ano -p tcp|findstr "LISTEHING" 

-o                           #查看进程数.
-p                           #指定 tcp 协议.
findstr "LISTEHING"          #查找可疑.


(3)根据上面的进程数 查看异常 进程.


发现是系统文件,删除不了 所以检查服务

(4)检查对应的进程数 服务.

services.msc      # 打开服务的.(但是里面没有进程数)(所以还是根据上面的那个来)


如果不能直接结束进程,可以使用 CMD 管理员进行结束.

taskkill /pid 844 -f

taskkill /pid 进程数 -f


如果服务里面还有,则可以删除服务.

sc delete 服务名

可以根据 进程数,查找是什么文件.

tasklist|findstr 2260

tasklist|findstr 进程数


根据 文件名,来找文件的位置.

wmic process | findstr "文件名"

(5)查看 开机启动项,是否也有异常的.

msconfig    # cmd 那里点击进行.

(win server 2008 r2 == win7 以 前 的是利用命令)

(win server 2008 r2 == win7 以 后 的是任务管理器看)


(6)定时计划.(任务计划)


病毒处理的方法:(工具辅助版)

(1)上传辅助分析工具(PCHunter),然后查看网络 看看有没有连接的.

(2)根据上面的进程数,点击进程 然后进行结束进程.(随便也删除了进程文件)


(3)查看启动项里面有没有,有的话也结束.

    

   

     

学习链接:06-手工杀毒流程_哔哩哔哩_bilibili

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2041473.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

带你速通C语言——位运算符、结构运算符与指针运算符(5)

位运算符、结构运算符与指针运算符 C语言的位运算符、结构运算符和指针运算符是对数据的更底层操作,使得C语言尤其适合进行系统编程和处理复杂的内存管理任务。下面详细介绍这些运算符。 1.位运算符 位运算符作用于整数类型的操作数的二进制位。以下是C语言中可用的…

报SBAT self-check failed: Security Policy Violation突然开不了机

台式机一直用的好好的没什么问题,早晨突然开机就关机提示: 查了一下网上资料,在BIOS里面搜“安全启动”改为禁用就行,该电脑微星主板直接由开启改为禁用,重启进入系统。很奇怪,一直用的没啥,突然…

Spring AOP应用指南:概念、通知与表达式分析

目录 一.AOP的基础概念 二.Spring AOP的应用场景 三.Spring AOP的核心概念 ▐ 切点(Pointcut) ▐ 连接点(Join Point) ▐ 通知(Advice) ▐ 切面(Aspect) 通知类型 四.PointCut与Order 切面优先级 五.切点表达式 execution(...)表达式 annotation表达式 一.AOP的基…

Java spring SSM框架--mybatis

一、介绍 Spring 框架是一个资源整合的框架,可以整合一切可以整合的资源(Spring 自身和第三方),是一个庞大的生态,包含很多子框架:Spring Framework、Spring Boot、Spring Data、Spring Cloud…… 其中Spr…

NLP实战二:Pytorch实现TextRNN文本分类

中文数据集 我从THUCNews中抽取了20万条新闻标题,已上传至github,文本长度在20到30之间。一共10个类别,每类2万条。 类别:财经、房产、股票、教育、科技、社会、时政、体育、游戏、娱乐。 数据集划分: 数据集数据量…

Python 接口自动化测试中的深拷贝与浅拷贝~

前言 在编写接口自动化测试脚本时,我们经常需要复制数据结构来模拟不同的测试场景。Python 提供了两种拷贝机制:浅拷贝和深拷贝。理解这两种拷贝的区别对保证测试数据的一致性和准确性至关重要。 浅拷贝 vs 深拷贝 浅拷贝:只复制引用&#…

软件架构:依赖倒置原则的魅力

依赖倒置原则(Dependency Inversion Principle, DIP)是面向对象设计的基本原则之一,由罗伯特C马丁(Robert C. Martin)提出。这一原则旨在降低系统中各个组件之间的耦合度,提高系统的可维护性和可扩展性。 …

四川正信法律:借钱不还报警有没有用

在日常生活中,金钱往来是人际交往中不可或缺的一部分。然而,当借钱不还成为一种普遍现象时,人们往往会感到困惑和无奈。那么,面对借钱不还的情况,报警是否有用呢? 我们要明确一点,借钱不还属于民事纠纷&am…

注意力机制 — 它是什么以及它是如何工作的

一、说明 注意力机制是深度学习领域的一个突破。它们帮助模型专注于数据的重要部分,并提高语言处理和计算机视觉等任务的理解和性能。这篇文章将深入探讨深度学习中注意力的基础知识,并展示其背后的主要思想。 二、注意力机制回顾 在我们谈论注意力之前&…

TcpSocket在切后台后如何保活

1)TcpSocket在切后台后如何保活 2)Magica Clothes 2插件与Burst编译问题 3)粒子拖尾合批失败怎么办 4)如何让射线追踪跟随我FPS游戏的十字准星进行移动 这是第398篇UWA技术知识分享的推送,精选了UWA社区的热门话题&…

适合学生党的运动耳机都有哪些?五大适合学生党的运动耳机推荐

2024年春季,开放式蓝牙耳机就凭借“佩戴舒适、开放安全”等优势火热出圈,这让各大音频厂商更新迭代速度不断加快,新品层出不穷。而用户面对市场上琳琅满目的开放式蓝牙耳机,一时间也不知道如何选择。那么对于学生党来说&#xff0…

linux 基本指令讲解 下

基本指令 date 显示 date 指定格式显示时间:date%Y:%m:%d(冒号可以随便改) 在显示方面 %H : 小时(00..23) %M : 分钟(00..59) %S : 秒(00..61) %X : 相当于 %H:%M:%S %d : 日 (01..31) %m : 月份 (01..12) %Y : 完整年份 (0000..9999) %F : 相当于 %Y-%m-%d在时间设置方面 date…

依赖注入+中央事件总线:Vue 3组件通信新玩法

​🌈个人主页:前端青山 🔥系列专栏:Vue篇 🔖人终将被年少不可得之物困其一生 依旧青山,本期给大家带来Vue篇专栏内容:Vue-依赖注入-中央事件总线 大家好,依旧青山, 最近呢也随着需求的变更调优…

Prometheus部署和基本操作

1 项目目标 (1)对Prometheus有基本的了解 (2)能够部署出一套Prometheus看板系统 (3)对Prometheus界面熟悉 1.1 规划节点 主机名 主机IP 节点规划 prome-master01 10.0.1.10 服务端 prome-node01 …

java基础学习笔记1

Java编程规范 命名风格 1. 【强制】代码中的命名均不能以下划线或美元符号开始,也不能以下划线或美元符号结束。 反例:_name / __name / $name / name_ / name$ / name__ 2. 【强制】代码中的命名严禁使用拼音与英文混合的方式,更不允许直…

社交媒体分析:如何利用Facebook的数据提升业务决

在数字化时代,社交媒体已经成为企业战略中不可或缺的一部分。Facebook,作为全球最大的社交平台之一,提供了丰富的数据资源,这些数据不仅能够帮助企业了解市场趋势,还能提升业务决策的精准度。本文将探讨如何有效利用Fa…

CV党福音:YOLOv8实现实例分割(一)

前面我们得知YOLOv8不但可以实现目标检测任务,还包揽了分类、分割、姿态估计等计算机视觉任务。在上一篇博文中,博主已经介绍了YOLOv8如何实现分类,在这篇博文里,博主将介绍其如何将实例分割给收入囊中。 YOLOv8实例分割架构图 …

Spring Boot3.3.X整合Mybatis-Plus

前提说明&#xff1a; 项目的springboot版本为&#xff1a;<version>3.3.2</version> 需要整合的mybatis-plus版本&#xff1a;<version>3.5.7</version> 废话不多说&#xff0c;开始造吧 1.准备好数据库和表 2.配置全局文件application.properti…

本地连接服务器redis

详细步骤 1.看一下服务器上redis实例的运行状态&#xff1a; [rootiZuf67k70ucx14s6zcv54dZ var]# ps aux | grep redis-server若显示&#xff1a; 则说明服务器上的redis已经启动了&#xff0c;若没有&#xff0c;则请重启一下&#xff1a; sudo systemctl restart redis…

原来,考证还可以领取补贴Money

武汉ZF真的对打工人太好了&#xff0c;只要社保交满 12 个月就可以参加职业技能考试&#xff0c;考试通过就能领 2K 的补贴。 而且证考了对找工作工资也能比别人高几百&#xff0c;真的太爽了&#xff0c;有空的姐妹都去给我考&#xff01;&#xff01;&#xff01; 没空的也给…