windows应急响应真实案例，windows发现危险采取措施

本内容由系统网小编为大家分享，Windows系统安装教程、办公系统、软件怎么使用、软件使用教程、办公软件攻略等信息。

排查思路

后门账号

Runregedit查看管理员相应的键值HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers

定时任务

打开任务调度器检查是否运行 taskschd.msc

启动项

检查是否有运行shell:startup的恶意程序

本地策略组启动项

检查本地组策略是否有运行gpedit.msc的可疑脚本

服务启动项

检查服务名称、描述和路径是否异常 Runservecis.msc

异常进程

检查是否存在一个可疑的过程。 您可以使用 PE工具查看内容

异常网络连接

恶意软件经常伴随异常的外部连接和异常的端口开关 Netstat –ano # 查看网络连接和端口开关

系统日志

运行事件vwr.msc,打开事件查看器

异常文件

使用D-Eyes扫描

发现两个可疑文件

把它扔到云沙盒上,看看 https://s.threatbook.cn/

恶意文件的fscan

我们正在查看另一个.exe文件,也是恶意文件

多个检测显示了文件名的变化

到这时,检测已经完成,只有两个恶意文件被发现,没有其他问题。

XTw.com.Cn系统网专业应用软件下载教程，免费windows10系统,win11,办公软件,OA办公系统,OA软件,办公自动化软件,开源系统,移动办公软件等信息，解决一体化的办公方案。