欢迎您访问系统网
您现在的位置是:首页» windows系统» windows应急响应真实案例,windows发现危险采取措施

windows应急响应真实案例,windows发现危险采取措施

2024-07-13 15:22:19
本内容由系统网小编为大家分享,Windows系统安装教程、办公系统、软件怎么使用、软件使用教程、办公软件攻略等信息。排查思路后门账号Runregedit查看管理员相应的键值HKEY_LOCAL_MACHINESAMSAMDomainsAcc

本内容由系统网小编为大家分享,Windows系统安装教程、办公系统、软件怎么使用、软件使用教程、办公软件攻略等信息。

排查思路

后门账号

Runregedit查看管理员相应的键值HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers

定时任务

打开任务调度器检查是否运行 taskschd.msc

启动项

检查是否有运行shell:startup的恶意程序

本地策略组启动项

检查本地组策略是否有运行gpedit.msc的可疑脚本

服务启动项

检查服务名称、描述和路径是否异常 Runservecis.msc

异常进程

检查是否存在一个可疑的过程。 您可以使用 PE工具查看内容

异常网络连接

恶意软件经常伴随异常的外部连接和异常的端口开关 Netstat –ano # 查看网络连接和端口开关

系统日志

运行事件vwr.msc,打开事件查看器

异常文件

使用D-Eyes扫描

发现两个可疑文件

把它扔到云沙盒上,看看 https://s.threatbook.cn/

恶意文件的fscan

我们正在查看另一个.exe文件,也是恶意文件

多个检测显示了文件名的变化

到这时,检测已经完成,只有两个恶意文件被发现,没有其他问题。

XTw.com.Cn系统网专业应用软件下载教程,免费windows10系统,win11,办公软件,OA办公系统,OA软件,办公自动化软件,开源系统,移动办公软件等信息,解决一体化的办公方案。

免责声明:本文中引用的各种信息及资料(包括但不限于文字、数据、图表及超链接等)均来源于该信息及资料的相关主体(包括但不限于公司、媒体、协会等机构)的官方网站或公开发表的信息。内容仅供参考使用,不准确地方联系删除处理!

联系邮箱:773537036@qq.com