蓝队应急响应- windows常用命令

2023-12-29 21:00:21

在蓝队日常中,免不了被入侵,那么就需要对目前的主机或者服务器进行检查,在日常生活中,人们使用最多的还是windows,比如客服的电脑中了木马,这个时候就需要蓝队去进行溯源等后续操作。

1. msinfo32.exe 打开microfost 系统信息?具查询系统版本信息
2. 排查网络? netstat -ano
3. 查看进程? tasklist | findstr "320"
4.临时文件分析,在文件浏览器地址栏中输入? %temp%

5.?taskschd.msc 打开计划任务 查看属性 检测是否存在 可疑的任务

6.查看当前用户 query user

7.msconfig 查看开机启动项和服务有?敏感内容

8.?%UserProfile%\Recent ,查看最近打开的文件,可以上传到查杀平台进行检查,

为保证准确性,可以丢到多个平台中进行检测:

在线检测分析平台
http://www.virscan.org //多引擎在线病毒扫描? v1.02,当前?持 41 款杀毒引擎
https://habo.qq.com //腾讯哈勃分析系统
https://virusscan.jotti.org //Jotti恶意软件扫描系统
http://www.scanvir.com //针对计算机病毒、?机病毒、可疑?件等进?检测分析
恶意软件检测平台
VirSCANhttps://www.virscan.org

VirusTotal:https://www.virustotal.com

Hybrid Analysis:https://www.hybrid-analysis.com

魔盾安全分析https://www.maldun.com

微步在线云沙箱:https://s.threatbook.cn

奇安信威胁情报中心https://ti.qianxin.com

9. 打开任务管理器或者命令行输入tasklist查看可以的进程,

?

未完待续----

注意:

本文是我在学习网络安全过程中总结的知识,如有谬误可直接联系我进行修改,谢谢。

文章来源:https://blog.csdn.net/weixin_39445116/article/details/135130744
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。