首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >应急响应篇_windows端口与进程排查

应急响应篇_windows端口与进程排查

作者头像
用户6343818
发布2020-05-26 15:02:32
4980
发布2020-05-26 15:02:32
举报
文章被收录于专栏:安全小圈安全小圈

定位established链接:

netstat -ano | findstr “ESTABLISHED” 获取正在链接的IP地址和进程信息

定位PID进程:

tasklist | findstr “pid”

然后通过wmi定位进程路径:

wmic process where “name=‘qq.exe’” get executablepath

最后对可疑的程序进程封禁

火绒-设置-IP协议控制-新建规则,对某个程序进程禁用网络

Eset是设置网络防护,高级设置,编辑规则,添加对某个应用禁用网络

对无签名程序进行VT查杀

首先验证签名状态(最好通过火绒剑):

然后传送到vt查杀(点击submit):

最后点击链接查看是否有威胁:

具体通过以上链接查看病毒是否释放等行为

本文参与 腾讯云自媒体分享计划,分享自微信公众号。
原始发表:2020-04-03,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 零度安全攻防实验室 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体分享计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 定位PID进程:
  • 然后通过wmi定位进程路径:
  • 最后对可疑的程序进程封禁
  • 对无签名程序进行VT查杀
    • 首先验证签名状态(最好通过火绒剑):
      • 然后传送到vt查杀(点击submit):
        • 最后点击链接查看是否有威胁:
        领券
        问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档