当前位置：首页 > news >正文

31、应急响应——Windows

news 2026/2/10 9:11:43

文章目录

一、账户排查
- 1.1 登录服务器的途径
- 1.2 弱口令
- 1.3 可疑账号
二、网络排查
三、进程排查
四、注册表排查
五、内存分析

一、账户排查

1.1 登录服务器的途径

3389
smb 445
http
ftp
数据库
中间件

1.2 弱口令

弱口令途径：3389、smb 445、http、ftp、数据库、中间件
排查方式：

查看是否启用组策略，限制弱口令
用户访谈，直接询问管理员是最好的方法
查看是否有暴力破解日志，并登陆成功
最后上述都无效的情况，可以尝试读取明文密码

1.3 可疑账号

（1）隐藏账户
使用net user看不到隐藏账户，使用本地用户管理也看不到隐藏账户。如果账号登录，在任务管理器中会发现相应进程。
在这里插入图片描述

创建windows隐藏用户基本流程：

排查windows隐藏用户，我们可以通过查看注册表下HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names（需要获取权限）

在这里插入图片描述

二、网络排查

通常恶意程序会发起网络连接，从网络连接来查找恶意程序是最直接的方法。具体步骤如下：

netstat -ano | find "LISTEN"
任务管理器——性能——资源监视器
windows10默认网络连接

网络排查中还有一部分内容是路由表，查看本机是否被利用作为VPN跳板。windows查看路由表命令：route print、netstat -rn

三、进程排查

（1）查看进程（命令行中）

法一：tasklistor taskmgr
法二：msinfo32
重点看正在允许任务、加载的模块、服务、启动程序

很多恶意程序会通过服务（可以理解为系统自动启动的程序）来启动进程，要注意进程与服务的关联方式。可以通过任务管理器，服务界面，查看进程PID。再通过命令行查看进程与服务之间的关联（tasklist /svc）。

进程运行参数查询，如svchost作业服务承载进程，具体运行了什么，wmic process where name='svchost.exe' get caption,commandline,processid,parentprocessid

进程加载模块查询tasklist -m，恶意程序通常会写成dll文件，而非exe直接执行。

启动项排查：
命令msconfig或msinfo32
注册表
组策略——启动或登录脚本

计划任务排查：

四、注册表排查

在这里插入图片描述

五、内存分析

分析内存首要步骤时获取内存，如果服务器时虚拟机，可以直接读取内存文件，如vmware的内存文件，直接在目录下。
在这里插入图片描述
从物理机获取内存

在这里插入图片描述

31、应急响应——Windows

文章目录一、账户排查1.1 登录服务器的途径1.2 弱口令1.3 可疑账号二、网络排查三、进程排查四、注册表排查五、内存分析一、账户排查 1.1 登录服务器的途径 3389smb 445httpftp数据库中间件 1.2 弱口令弱口令途径：3389、smb 445、http、ftp、数据库、中间件…...

编程日记 2023/12/13 22:34:18

QT linux下使用Qt Creator调试附加进程，加快调试

文章目录一、调试附加进程二、配置流程（1）开放linux内核配置项（2）命令行直接启动程序（3）调试附加到进程一、调试附加进程使用附加进程调试要比直接调试速度要快，但是不足之处是，…...

编程日记 2023/12/13 22:32:15

IDEA Maven项目如何引用本地jar包,并打包发布

jar包位于当前路径下的lib目录中引入所需要的配置查看当前jar包的相关信息包的引入,需要使用到当前包的artifactId, groupId, version 需要到包的/META-INF/maven/ 下面的 pom.xml 文件里面找在Maven构建项目时，生成的依赖包中的/META-INF/maven目录存放了一些…...

编程日记 2023/12/13 22:31:14

Unity中Batching优化的GPU实例化（3）

文章目录前言一、UNITY_SETUP_INSTANCE_ID(v);二、在UnityInstancing.cginc文件中，看一下Unity这句话做了什么1、使用了该 .cginc 后，会自动预定义该函数2、需要满足GPU实例化条件，才会执行对应语句3、满足GPU实例化后，主要执行的…...

编程日记 2023/12/13 22:30:13

Web应用JSON数据保护（密码算法、密钥、数字签名和数据加密）

1.JSON（JavaScript Object Notation） JSON是一种轻量级的数据交换格式，采用完全独立于编程语言的文本格式来存储和表示数据。JSON通过简单的key-value键值对来描述数据，可以被广泛用于网络通信、数据存储等各种应用场景&#xff0…...

编程日记 2023/12/13 22:28:11

【软件安装】VMware安装Centos7虚拟机并且设置静态IP，实现Windows和Centos7网络互相访问

这篇文章，主要介绍VMware安装Centos7虚拟机并且设置静态IP，实现Windows和Centos7网络互相访问。目录一、VMware安装Centos7 1.1、下载Centos7镜像 1.2、安装Centos7系统二、设置静态IP地址 2.1、查看虚拟机网络IP 2.2、禁用NetworkManager服务 …...

编程日记 2023/12/13 22:27:10

203. 移除链表元素

203. 移除链表元素 https://leetcode.cn/problems/remove-linked-list-elements/description/ 方法一：迭代迭代遍历链表注意：这里的head是指向第一个节点的（首元节点），并没有一个虚拟的头节点，所以这…...

编程日记 2023/12/13 22:24:08

zabbix——实现高效网络监控

在当今的数字化时代，网络和服务器的健康状况对于企业的正常运营至关重要。为了及时发现和解决潜在的问题，许多企业选择使用网络监控工具来追踪服务器的性能和网络参数。其中，Zabbix是一个功能强大且开源的网络监控工具，被广泛应用…...

编程日记 2023/12/13 22:19:03

LeetCode力扣每日一题（Java）：58、最后一个单词的长度

一、题目二、解题思路 1、我的思路先将字符串转换成字符数组由于我们需要获取最后一个单词的长度，所以我们从后往前遍历字符数组我们还需判断所遍历的字符是不是字母，即判断每个字符对应的ASCII值即可，用计数器count来储存单词长度 …...

编程日记 2023/12/13 22:18:03

一、python requests爬虫[基础、上传文件、会话维持、代理设置]

一、requests 1. 发送解释：向服务器发送请求 1.1 请求页面方式 requests.get(www.baidu.com) requests.post(www.baidu.com) 1.2请求参数 1.2.1 get params {"id":16,"name":"jack" } requests.get(www.baidu.com,paramspara…...

编程日记 2023/12/13 22:17:02

ActiveMQ使用指南

介绍 ActiveMQ是Apache开源组织旗下的一个项目，是一个流行的开源消息中间件。它完全支持JMS1.1和J2EE1.4规范的JMS Provider实现，并且是纯Java开发的产品。ActiveMQ支持多种语言编写客户端，包括C,C,C#,Perl,PHP,Ruby,Ajax等，同时…...

编程日记 2023/12/13 22:16:00

动态SQL学习及使用场景（简略）

假设我们有一个商品表，包含id、name、price和category四个字段。现在需要实现修改商品价格的功能，我们可以使用动态SQL实现。首先，我们需要构造一个SQL语句，根据用户提供的参数来动态生成，具体实现如下： …...

编程日记 2023/12/13 22:14:59

【算法每日一练]-动态规划（保姆级教程篇13）POJ2686马车旅行 #POJ3254 玉米田 #POJ1185：炮兵阵地

目录今天知识点 dp每个票的使用情况，然后更新此票状态下的最优解，dp到没有票就行了 dp每行的种植状态，从i-1行进行不断转移 dp每行的种植状态，从i-1和i-2行进行不断转移 POJ2686马车旅行思路： POJ3254 玉米田…...

编程日记 2023/12/13 22:13:59

工业固体废物智能化综合管控平台

工业固体废物智能化综合管控平台，涵盖产废企业、运输企业、固废处置企业等不同群体应用，根据不同群体设计不同的业务应用子系统功能，以及各个不同群体的环保物联网平台子系统功能模块，同时具有移动端的应用APP。建立产废企业端…...

编程日记 2023/12/13 22:12:58

玩转大数据12：大数据安全与隐私保护策略

1. 引言大数据的快速发展，为各行各业带来了巨大的变革，也带来了新的安全和隐私挑战。大数据系统通常处理大量敏感数据，包括个人身份信息、财务信息、健康信息等。如果这些数据被泄露或滥用，可能会对个人、企业和社会造成严重的损…...

编程日记 2023/12/13 22:10:56

Qt工程文件分离、Qtimer定时器、Qt Creator 常用快捷键

Qt 工程文件分离不含 UI 的文件分离以堆栈窗体的代码为例。 firstpagewidget.h #ifndef FIRSTPAGEWIDGET_H #define FIRSTPAGEWIDGET_H#include <QtWidgets> // 记得修改class firstPageWidget : public QWidget {Q_OBJECT public:explicit firstPageWidget(QW…...

编程日记 2023/12/13 22:08:54

验收支撑-软件项目验收计划书

软件项目验收计划的作用主要有以下几点： 确保项目质量：通过项目验收，客户或相关方可以对项目的成果进行全面、系统的评估，以确保项目达到预期的质量标准。发现和解决问题：在项目开发过程中，难免会存在一些问…...

编程日记 2023/12/13 22:06:53

SQL注入绕过技术

预计更新SQL注入概述 1.1 SQL注入攻击概述 1.2 SQL注入漏洞分类 1.3 SQL注入攻击的危害 SQLMap介绍 2.1 SQLMap简介 2.2 SQLMap安装与配置 2.3 SQLMap基本用法 SQLMap进阶使用 3.1 SQLMap高级用法 3.2 SQLMap配置文件详解 3.3 SQLMap插件的使用 SQL注入漏洞检测 4.1 SQL注入…...

编程日记 2023/12/13 22:05:52

label-studio的使用教程(导入本地路径)

文章目录 1. 准备环境2. 脚本启动2.1 Windows2.2 Linux 3. 安装label-studio机器学习后端3.1 pip安装(推荐)3.2 GitHub仓库安装 4. 后端配置4.1 yolo环境4.2 引入后端模型4.3 修改脚本4.4 启动后端 5. 标注工程5.1 创建工程5.2 配置图片路径5.3 配置工程类型标签5.4 配置模型5.…...

编程新知 2026/2/7 20:40:53

Spring Boot 实现流式响应（兼容 2.7.x）

在实际开发中，我们可能会遇到一些流式数据处理的场景，比如接收来自上游接口的 Server-Sent Events（SSE） 或流式 JSON 内容，并将其原样中转给前端页面或客户端。这种情况下，传统的 RestTemplate 缓存机制会…...

编程新知 2025/8/11 8:18:44

多场景 OkHttpClient 管理器 - Android 网络通信解决方案

下面是一个完整的 Android 实现，展示如何创建和管理多个 OkHttpClient 实例，分别用于长连接、普通 HTTP 请求和文件下载场景。 <?xml version"1.0" encoding"utf-8"?> <LinearLayout xmlns:android"http://schemas…...

编程新知 2025/12/15 1:34:37

Cinnamon修改面板小工具图标

Cinnamon开始菜单-CSDN博客设置模块都是做好的，比GNOME简单得多！ 在 applet.js 里增加 const Settings imports.ui.settings;this.settings new Settings.AppletSettings(this, HTYMenusonichy, instance_id); this.settings.bind(menu-icon, menu…...

编程新知 2026/1/31 14:56:22

ip子接口配置及删除

配置永久生效的子接口，2个IP 都可以登录你这一台服务器。重启不失效。永久的 [应用] vi /etc/sysconfig/network-scripts/ifcfg-eth0修改文件内内容 TYPE"Ethernet" BOOTPROTO"none" NAME"eth0" DEVICE"eth0" ONBOOT&q…...

编程新知 2025/10/26 5:04:25