上一篇文章说到Windows的应急响应排查,本篇文章就来说说Windows的应急响应排查。 首先,前期交互这部分的内容还是不能少的,毕竟掌握的信息越多,排查的思路就越清晰。
首先,先对排查主机的基本信息有一个了解。
首先熟悉一下ps命令的参数:
通过进程运行的命令、资源占用、位置等来查找可疑进程。查找到可以进程后可以使用ll /proc/[进程pid]来获取进程运行的路径。
查找到可以进程后可以使用kill -9 [进程pid]来杀死进程。
可以通过判断开放的异常端口来进行排查,或通过state字段来判断有没有端口进行网络连接。
service --status-all(枚举主机的所有服务)
排查passwd时,注意查看可登录shell的用户,即:shell为/bin/bash
以上就是本篇文章的全部内容,如有填充,请大家点出。