说到应急响应,都是根据已知的问题来进行应急处理的。全面的应急响应无法在第一时间确定,从而进行已知的事件处理,是作为第一步的开始。
那么在第一时间确认安全事件,根据安全事件是否需要断网。进行数据方盒处理,启用网络数据分解装载转输,在一定时间内,保留有价值的镜头(不是摄像头)。从而更好的了解整个安全事件还原处理。
1.进程/用户/端口/密码/日志/启动项/服务项/计划任务/注册表/其他
0.01 tasklist命令
tasklist 查看本机进程 这里主要看的就是一个内存的使用率
0.02 PID找到程序进程 我们可以根据PID找到异常进程 关闭或者找到绝对路径
C:\Users\Administrator>wmic process where processid=68 get processid,executablepath,name
ExecutablePath Name ProcessId
C:\Windows\system32\cmd.exe cmd.exe 68
68就是PID数字
也可以查看端口知晓PID
C:\Users\Administrator>netstat -nao | findstr 443
最后一列就是PID
0.03 *死进程
可以直接狙击进程
C:\Users\Administrator>taskkill /PID 6464 /F
或者
ntsd -c q -p 6464
wmic process where name="cmd.exe" delete
wmic process where processid=6464 call terminate
*死进程的方法有很多
