Windows应急响应-异常资源

原文：助安社区-应急响应实战指南 http://security-incident-respons.secself.com

端口

检查端口连接情况，是否有远程连接、可疑连接。

检查方法

1. 使用netstat -ano 命令查看目前的网络连接，定位可疑的 ESTABLISHED
2. 根据 netstat 命令定位出的 PID 编号，再通过 tasklist 命令进行进程定位 tasklist | findstr "PID"

68040354217

68040370627

进程

• 开始 -- 运行 -- 输入 msinfo32 命令，依次点击 "软件环境 -- 正在运行任务" 就可以查看到进程的详细信息，比如进程路径、进程ID、文件创建日期以及启动时间等。
• 打开D盾_web查杀工具，进程查看，关注没有签名信息的进程。
• 通过微软官方提供的 Process Explorer 等工具进行排查 。
• 查看可疑的进程及其子进程。可以通过观察以下内容：
  • 没有签名验证信息的进程
  • 没有描述信息的进程
  • 进程的属主
  • 进程的路径是否合法
  • CPU 或内存资源占用长时间过高的进程

小技巧：

• 查看端口对应的 PID：netstat -ano | findstr "port"
• 查看进程对应的 PID：任务管理器 -- 查看 -- 选择列 -- PID 或者 tasklist | findstr "PID"
• 查看进程对应的程序位置：
  • 任务管理器 -- 选择对应进程 -- 右键打开文件位置
  • 运行输入 wmic，cmd 界面输入 `process`
• tasklist /svc 进程 -- PID -- 服务
• 查看Windows服务所对应的端口：%systemroot%/system32/drivers/etc/services（一般 %systemroot% 就是 C:\Windows 路径）

68040398823

68040404291