当前位置: 首页 > news >正文

Windows应急响应一般思路(二)

news 2025/8/23 6:20:13

进程排查

进程(Process)是计算机中的程序关于某数据集合上的一次运行活动,是系统进行资源分配和调度的基本单位,是操作系统结构的基础

无论是在Windows系统还是Linux系统中,主机在感染恶意程序后,恶意程序都会启动相应的进程,来完成相关的恶意操作

Windows进程排查

对于Windows系统中的进程排查,主要是找到

  • 恶意进程的PID
  • 程序路径
  • PPID(PID的父进程)
  • 程序加载的DLL

对于进程的排查,一般有如下几种方法

任务管理器

比较直观的方法是通过【任务管理器】查看可疑程序,但是需要在打开【任务管理器】窗口后,添加【命令行】和【映射路径名称】等进程页列,以方便获取更多进程信息

tasklist

在命令行中输入【tasklist】命令,可显示运行在计算机中的所有进程,可查看进程的映像名称、PID、会话名等信息

【tasklist】命令添加特定参数,还可以查看每个进程提供的服务

  • 添加svc参数,可以显示每个进程和服务的对应情况
  • 输入【tasklist /m】命令查询进程加载的恶意进程
  • 如果要想查询特定DLL的调用情况,可以使用命令【tasklist /m DLL名称】

netstat

在命令行中输入【netstat】命令,可显示网络连接的信息,包括活动的TCP连接、路由器和网络接口信息,相关参数如下

  • -a:显示所有连接和侦听端口
  • -b:显示在创建每个连接或侦听端口时涉及的可执行程序
  • -n:以数字形式显示地址和端口号
  • -o:显示拥有的与每个连接关联的进程ID
  • -p proto:显示proto指定的协议的连接

常见的网络状态说明如下:

  • LISTENING:侦听状态
  • ESTABLISHED:建立连接
  • CLOSE WAIT:对方主动关闭连接或网络异常导致连接中断

在排查过程中,一般会使用【netstat -ano | findstr "ESTABLISHED"】命令查看目前的网络连接,定位可疑的ESTABLISHED

根据netstat里面的pid,可以再结合tasklist命令进行进程查询tasklist | findstr "PID"

注意如果攻击者做了进程迁移,这里可能搜不到对应进程

wmic

使用【wmic】命令进行查询

  • 获取系统进程信息: wmic process
  • 根据应用程序查找PID: wmic process where name="cmd.exe" get processid, executablepath, name
  • 根据PID查找应用程序: wmic process where processid="4296" get executablepath, name
  • 以 CSV格式来显示进程的名称、父进程ID、进程ID:wmic process get name,parentprocessid,processid/format :csv

其他类似命令如下:

  • wmic process get ExecutablePath,processid/format: csv
    • 以csv格式来显示进程路径、进程ID信息
  • wmic process get name,ExecutablePath,processid,parentprocessid/format: csv | findstr /I "appdata"
    • 以csv格式来显示进程的名称、进程路径、进程ID、父进程D信息
  • wmic process where processid=[PID] get parentprocessid
    • 以PID的值作为条件来获取其父进程的PID情况
  • wmic process where processid=[PID] get commandline
    • 以PID的值作为条件来获取其命令行
  • wmic process where name="malware.exe" call terminate
    • 删除"malware.exe"恶意程序的进程
  • wmic process where processid=[PID] delete
    • 删除PID为某值的进程

进程时间

WINDOWS可以借助第三方工具Process Explorer排查

进程资源管理器 - Sysinternals | Microsoft Learn

服务排查

服务可以理解为运行在后台的进程

这些服务可以在计算机启动时自动启动,也可以暂停和重新启动,而且不显示任何用户界面

服务非常适合在服务器上使用,通常在为了不影响在同一台计算机上工作的其他用户,且需要长时间运行功能时使用

在应急响应排查过程中,服务作为一种运行在后台的进程,是恶意软件常用的驻留方法

Windows服务排查

图形化方法

打开【运行】对话框,输入【services.msc】命令,可打开【服务】窗口,查看所有的服务项,包括服务的名称、描述、状态等

命令方法

  • 查看当前运行的服务: net start
http://www.dtcms.com/a/344036.html

相关文章:

  • 3 种无误的方式删除 Itel 手机上的短信
  • 车载 GPS 与手机导航的终极对决:谁在复杂路况下更胜一筹?
  • 开源文件加密工具【PicoCrypt】
  • [net]基于asp.net的校园网站的设计与实现/基于c#的校园论坛系统的设计与实现
  • 微软获评2025年Gartner®容器管理魔力象限™领导者
  • 深度学习在股票量化中的应用
  • AP服务发现PRS_SOMEIPSD_00160的解析
  • 项目中优惠券计算逻辑全解析(处理高并发)
  • 河南萌新联赛2025第(六)场:郑州大学(补题)
  • Unity UnityWebRequest高级操作
  • Masked Language Model 如何重塑大模型的预训练
  • 如何轻松永久删除 Android 手机上的短信
  • 如何从根源上理解并解决前端的CORS跨域问题
  • apt update Ign and 404 Not Found
  • docker cuda版安装 dockercuda版安装
  • 哪款云手机比较好用呢?
  • 链式法则解释上游梯度应用
  • 《Windows Server 2022》 [2025年8月版 ] [官方IOS] 下载
  • 设计模式:抽象工厂模式
  • DeepSeek辅助编写的测试xlsx文件写入性能的程序
  • 多线程下为什么用ConcurrentHashMap而不是HashMap
  • Python万里长征6(非教程)pandas筛选数据三基础、三核心、三高级
  • Kafka 为什么具有高吞吐量的特性?
  • C# 浮点数与定点数详细解析
  • 邀请函 | 2025达索系统高峰论坛,跨界融合定义未来制造
  • SamOutVXP:革命性轻量级语言模型,突破传统推理限制
  • 不同类型代理 IP 在爬虫场景下的表现对比
  • 苹果紧急修复ImageIO零日漏洞CVE-2025-43300,已被在野利用
  • 开源AI编程工具Kilo Code的深度分析:与Cline和Roo Code的全面对比
  • QT之QSS常用颜色总结