渗透测试基础- - -windows入侵排查

最新推荐文章于 2024-07-02 12:32:20 发布
原创 最新推荐文章于 2024-07-02 12:32:20 发布 · 2.3k 阅读 · 26 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows #php #开发语言

渗透测试基础- - -windows入侵排查

目录

一,文件排查

二,进程排查

三,系统信息排查

四,登录日志排查

一,文件排查

(1)开机启动有无异常文件

打开任务管理器----选择“启动”

(2)各个盘下的temp(tmp)相关目录下查看有无异常文件 :windwos产生的临时文件

(3)浏览器浏览痕迹、浏览器下载文件、浏览器cookie信息,根据不同浏览器进行排查,或者快捷键【ctrl+H】

 

 

(4)Recent是系统文件夹,里面存放着你最近使用的文档的快捷方式,查看 用户recent相关文件,通过分析最近打开分析可疑文件: 【开始】➜【运行】➜【%UserProfile%\Recent】

(5)根据文件夹内文件列表时间进行排序,查找可疑文件。当然也可以搜索指定日期范围的文件及文件

(6)查看文件时间,创建时间、修改时间、访问时间,黑客通过菜刀类工具改变的是修改时间。 所以如果修改时间在创建时间之前明显是可疑文件.

最低0.47元/天 解锁文章
Windows入侵排查秘籍:锁死安全漏洞
超哥的博客
08-07 1073
Windows入侵排查秘籍:锁死安全漏洞1 检查系统账号安全1.1 查看服务器是否有弱口令,远程管理端口是否对公网开放1.2 查看服务器是否存在可疑账号、新增账号 1.3 结合日志,查看管理员登录时间
2021年中职网络空间安全最新国赛赛解析仅代表自己的建议——zz-网络安全试1)解析
PushSafe
05-17 4096
2021年全国职业院校技能大赛(中职组) 网络安全竞赛试1) (总分100分) 赛说明 一、竞赛项目简介 “网络安全”竞赛共分A. 基础设施设置与安全加固;B. 网络安全事件响应、数字取证调查和应用安全;C. CTF夺旗-攻击;D. CTF夺旗-防御等四个模块。根据比赛实际情况,竞赛赛场实际使用参数、表述及环境可能有适当修改,具体情况以实际比赛发放赛为准。竞赛时间安排和分值权重见表1。 表1 竞赛时间安排与分值权重 模块编号 模块名称 竞赛时间 (小时) 权值 A 基础设施设置与安全...
Windows入侵排查
Williamanddog的博客
02-08 893
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急第一时间进行处理,使企 业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解 决方案与防范措施,为企业挽回或减少经济损失。 常见的应急响应事件分类: Web入侵:网页挂马、主页篡改、Webshell 系统入侵:病毒木马、勒索软件、远控后门 网络攻击:DDOS 攻击、DNS 劫持、ARP 欺骗 使用环境:Windows 7
WINDOWS入侵痕迹清理总结
jennycisp的博客
09-04 665
Windows的日志文件通常有应用程序日志,安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等等。应用程序日志文件:%systemroot%\system32\config\AppEvent.EVT;安全日志文件:%systemroot%\system32\config\SecEvent.EVT;系统日志文件:%systemroot%\system32\config\SysEvent.EVT;
windows排查
qq_43665434的博客
09-16 1405
Windows分析排查介绍 分析排查是指对Windows系统中的文件、进程、系统信息、日志记录等进行检测,挖掘Windows系统中是否具有异常情况。 目的:保护Windows系统安全。 文件分析 1、开机启动文件 一般情况下,各种木马、病毒等恶意程序,都会在计算机开机启动过程中自启动。 在Windows系统中可以通过以下三种方式查看开机启动项: 利用文件资源管理器 C:\Users\xiamo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\S
渗透测试基础- - -web日志分析
weixin_67503304的博客
10-26 2224
本文主要讲解了在渗透测试过程中对web日志入侵排查的基本方式及其命令。
windows入侵排查
最新发布
江小白
07-02 1338
msinfo32 命令①系统信息工具:输入 msinfo32 命令,打开系统摘要信息窗口② 正在运行的任务:系统摘要 ->软件环境 ->正在运行的任务,可以看到正在运行的任务名称、路径、进程ID等信息③ 服务:在系统摘要 ->软件环境 -> 服务 选项,查看服务的名称、状态、路径等信息④ 系统驱动程序:软件环境 -> 系统驱动程序,可以查看系统驱动程序的名称、描述、文件等信息⑤ 加载的模块:软件环境 ->加载的模块,查看加载的模块的名称、路径等信息。
渗透测试 ( 3 ) --- Metasploit Framework ( MSF )
墨鱼菜鸡
07-11 5239
白嫖 Metasploit Pro 2022:https://zhuanlan.zhihu.com/p/449836479 白嫖 Metasploit Pro 2022:http://t.zoukankan.com/hxlinux-p-15787814.html 好东西之 metasploit pro:https://www.52pojie.cn/thr...
渗透测试面试--日更(1-9day)
IerkeU的博客
02-28 8408
day-one 1、拿到一个待检测的web站,渗透测试思路? 答: (1)信息收集 获取域名的whois信息,获取注册者的邮箱姓名电话等 查服务器的旁站以及子域名站点,因为主站一般比较难,所以可以先看看旁站有没有通用cms或者其他漏洞 查看服务器操作系统版本,web中间件,看看是否存在已知漏洞 查看IP,进行IP地址的全面扫描,对响应端口进行漏洞探测 (2)漏洞扫描:开始检测漏洞,例如XSS,XSRF,SQL注入,命令执行,越权访问,暴力破解… (3)漏洞利用:利益扫描到的漏洞拿到webshell或者其
windows 入侵排查
Stestack的博客
05-22 426
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。常见的应急响应事件分类:Web 入侵:网页挂马、主页篡改、Webshell系统入侵:病毒木马、勒索软件、远控后门网络攻击:DDOS 攻击、DNS 劫持、ARP 欺骗针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 Windows 服务器入侵排查的思路。
应急响应篇:windows入侵排查
yj520400的博客
03-21 1820
的存在,在入侵系统后,攻击者可以在计算机上开启专属的端口来访问被害主机或植入病毒用于挖矿等,熟悉计算机的朋友应该都知道常用的端口也就那么几个,所以通过排查可疑端口能确定主机是否存在后门、是否被植入挖矿病毒等,再根据端口的PID对可疑进程对应的程序排查,确定是否为恶意程序。webshell和病毒都是windows系统的大敌,它们可以维持攻击者的系统权限、盗窃资料、感染其他主机、加密文件等,对操作系统造成非常大的危害。而与此同时操作系统也会出现异常,包括账户、端口、进程、网络、启动、服务、任务以及文件等,
红队渗透-window痕迹清除
EdisonJH的博客
05-16 2988
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、windows操作系统基础入门二、windows渗透痕迹清除1.为避免入侵操作行为被发现时,攻击者往往通过各种方式来隐藏自己操作痕迹,比如:删除日志、隐藏后门、日志伪造。 前言 我们在做痕迹清理时,一定要对windows基础理论,基础知识点明确于心,废话多说,接下来开始学习。 记录MS08068学习红队三期windows痕迹清除 1windows用户基础入门 2、windows用户命令入门 3、windows渗透痕.
windows系统入侵排查思路
剁椒鱼头没剁椒的博客
06-21 5359
windows系统服务器入侵排查的思路
Windows系统目录、服务、端口、注册表
Dreamsi_zhang的博客
04-10 1734
1、系统目录 windows:是Windows系统安装文件所在文件夹,一般用来存储系统安装文件和硬件驱动程序等内容,是系统正常运转的必要保证。 program files:指的是程序文件,是Windows 操作系统、以及其它的操作系统各种软件默认安装到的目录。位于C盘分区(“C:\Program Files”,"%ProgramFiles%"),但也可根据用户的要自定义到别的分区。 用户:存放...
【每天学习一点新知识】Windows日志分析
RexHa的博客
03-24 9262
日志:日志文件为服务器、工作站、防火墙和应用软件等IT资源相关活动记录必要的、有价值的信息。日志文件中的记录可以提供以下用途:监控系统资源;审计用户行为;对可疑行为进行告警;确定入侵行为的范围;为恢复系统提供帮助;生成调查报告;为打击计算机犯罪提供证据来源。主要目的:对攻击行为进行溯源定位攻击者的ip摸清攻击行为,对系统中的安全薄弱点进行加固针对性的进行漏洞加固。
TCP连接管理与释放(三次握手 四次挥手 SYN洪泛攻击)
热门推荐
NuanShuTT的博客
09-14 1万+
TCP连接的三个阶段 TCP连接采取服务器客户端的方式,主动发起连接的叫做客户端,被动等待接受连接的叫做服务器。 连接建立(三次握手) 首先请求方 也就是客户想要和一台主机(服务器) 建立连接,客户方进程首先通知客户TCP,他想要建立一个和服务器上某个进程的连接,客户中的TCP会用以下的步骤与服务器中的TCP建立一个链接: ROUND 1:客户端发送请求报文段 无应用层数据。 SYN = 1(同步位 表示是一个连接发送报文) seq = x (发送的本报文段的第一个字节的序号 4个字节 主机随机产生)
windows下ssh、telnet、rdp、smb、ftp暴破事件日志分析
xiaozhao2017的博客
12-26 4720
windows暴破事件日志
应急响应之windows进程排查
渗透之路,攻防之间皆学问
07-05 8963
#查看已建立的连接 netstat -ano | findstr "ES" 或 netstat -b #根据pid定位程序 tasklist | findstr PID号 #获取程序路径 wmic process | findstr 程序名 #终止进程 taskkill /f /pid pid号 1. 查看网络连接 netstat命令的功能是显示网络连接、路由表和网络接口信息,可以让用户得知目前都有哪些网络连接正在运作。 netstat [选项] 命令中各选项的含义如下: -a ..
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

干掉芹菜

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值