Windows应急响应流程

时间：2023-12-13 18:00:47浏览次数：26

标签：Windows HKEY 流程 CurrentVersion 应急 msc Microsoft Software

文件分析

• 最近使用文件

– C:\Documents and Settings\Administrator\Recent

– C:\Documents and Settings\Default User\Recent

– %UserProfile%\Recent

• 系统日志分析

– 事件查看器 eventvwr.msc

用户分析

• 查看是否有新增用户

• 查看服务器是否有弱口令

• 查看管理员对应键值

• lusrmgr.msc 查看账户变化

• net user 列出当前登录账户

• wmic UserAccount get 列出当前系统所有账户

进程分析

• netstat -ano 查看是否打开了可疑端口

• tasklist 查看是否有可疑进程

• 分析开机自启程序

– HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

– HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

– HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

– HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

– HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

– HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

– HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

– HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices

– HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

– (ProfilePath)\Start Menu\Programs\Startup 启动项

– msconfig 启动选项卡

– gpedit.msc 组策略编辑器

• 查看计划或定时任务

– C:\Windows\System32\Tasks\

– C:\Windows\SysWOW64\Tasks\

– C:\Windows\tasks\

– schtasks

– taskschd.msc

– compmgmt.msc

• 查看启动服务

– services.msc

日志分析

• 事件查看

– eventvwr.msc

其他

• 查看系统环境变量

标签：Windows,HKEY,流程,CurrentVersion,应急,msc,Microsoft,Software
From： https://blog.51cto.com/u_14156098/8804953

【JDK】windows安装多版本jdk，识别问题
1、多版本在编辑JAVA_HOME时，可用版本号后缀编辑多个，在使用时，直接修改path上的JAVA_HOME名称即可 2、cmd输入java-version还是没改过来的问题原因是①C:\ProgramFiles\CommonFiles\Oracle这个目录有java的识别程序，删掉这俩文件夹即可 ②C:\ProgramFiles(x86)\Com......
通过脚本批量修改windows系统任务计划
需求：修改已有的windows系统任务计划方法：一、通过python实现需要安装pywin32模块pipinstallpywin32查询任务计划importwin32com.clientTASK_ENUM_HIDDEN=1TASK_STATE={0:'Unknown',1:'Disabled',2:'Queued',3:......
ExoPlayer播放流程解析
ExoPlayer的播放解析流程如下（以音频为例）：注意：1、LoadControl.shouldContinueLoading控制是否继续加载。2、调用setPlayWhenReady(true)其实最终也是调用了AudioTrack的play()各个部分的作用：Extractor（解析器）：负责从媒体容器中提取音频和视频数据，如MP4、FLV等。它将输入的媒体......
使用网络蜘蛛的流程●网络爬虫织网步骤
蜘蛛池是一种通过大量模拟真实用户行为来提升网站搜索引擎排名的技术。这种技术利用大量的网络爬虫程序，模拟搜索引擎蜘蛛的爬行行为，通过大量的模拟爬行和页面抓取，提高网站的权重和排名。现代社会，网络蜘蛛广泛应用于搜索引擎、数据挖掘、舆情分析、商业竞争等领域。那么，使用网络爬......
windows安装mysql时卡write configuration file曲线救国 mysql 5.7.39 免安装(ZIP压缩
现象描述现象描述:使用安装包安装时，卡：writeconfigurationfile解决办法解决办法：曲线救国mysql5.7.39免安装(ZIP压缩包)版本安装配置1.下载mysql官网：mysql官网，点击前往2.安装下载后解压到任意文件夹，如我所解压的路径为：D:\ProgramFiles\MySQL\mysql-5.7将解压......
Windows、Linux 和 Mac：操作系统之间的比较
Windows系统、Linux系统与Mac系统：操作系统的对比与选择操作系统是管理和控制计算机硬件与软件资源的计算机程序，是直接运行在“裸机”上的最基本的系统软件，任何其他软件都必须在操作系统的支持下才能运行。操作系统是用户和计算机的接口，同时也是计算机硬件和其他软件的接口。以下是W......
Windows下获取设备管理器列表信息-setupAPI
背景及问题：在与硬件打交道时，经常需要知道当前设备连接的硬件信息，以便连接正确的硬件，比如串口通讯查询连接的硬件及端口，一般手工的方式就是去设备管理器查看相应的信息，应用程序如何读取这一部分信息呢，Windows下的SetupAPI系列就可以解决这个问题示例程序#include<Windows.h>#......
Windows10开启NTP服务端，给局域网设备授时
Windows10开启NTP服务端，给局域网设备授时2023年12月12日22:04周二要实现通过NTP协议给操作站给同局域网内其他设备授时，统一时间配置注册表将以下文本复制到记事本中文件后缀名为reg，双击导入注册表WindowsRegistryEditorVersion5.00[HKEY_LOCAL_MACHINE\SYSTEM\Cur......
流程控制：选择结构
用于反编译 ......
小傅哥星球项目拆解，如何设计复杂的抽奖流程
作者：小傅哥博客：https://bugstack.cn沉淀、分享、成长，让自己和他人都能有所收获！......

Windows应急响应流程

相关文章

赞助商

阅读排行