网络安全应急响应-系统排查
在网络安全应急响应中,系统排查是快速识别潜在威胁的关键步骤。以下是针对Windows和Linux系统的系统基本信息排查指南,涵盖常用命令及注意事项:
一、Windows系统排查
1. 系统信息工具(msinfo32.exe)
- 命令执行:
通过界面查看:msinfo32.exe # 打开图形化系统信息窗口- 正在运行的任务:软件环境 → 正在运行的任务。
- 服务:软件环境 → 服务(显示所有服务状态)。
- 系统驱动程序:软件环境 → 系统驱动程序。
- 加载的模块:软件环境 → 加载的模块(DLL文件)。
- 启动程序:软件环境 → 启动程序(注册表启动项)。
2. 命令行替代工具(高效收集信息)
- 系统信息汇总:
systeminfo > system_info.txt # 导出系统配置概览 - 进程与模块:
tasklist /v > processes.txt # 详细进程列表(含加载的DLL) wmic process list full > processes_wmic.txt - 服务与驱动:
sc query type= service state= all > services.txt # 所有服务状态 driverquery /v > drivers.txt # 驱动程序详情 - 启动项检查:
wmic startup get caption,command,location > startup_items.txt reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" # 注册表启动项 reg query "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
二、Linux系统排查
1. CPU信息
lscpu > cpu_info.txt # CPU架构、核心数等
cat /proc/cpuinfo >> cpu_info.txt
2. 操作系统信息
uname -a > os_kernel.txt # 内核版本、主机名等
cat /etc/os-release > os_distro.txt # 发行版详细信息
lsb_release -a >> os_distro.txt
3. 内核模块信息
lsmod > loaded_modules.txt # 已加载的内核模块
cat /proc/modules >> loaded_modules.txt
# 检查可疑模块(如名称异常):
grep -i "可疑关键词" loaded_modules.txt
4. 扩展排查建议
- 进程与网络:
ps aux > processes.txt # 所有运行中的进程 netstat -tulnp > network_connections.txt # 网络连接与监听端口 ss -tulnwp >> network_connections.txt # 替代netstat - 启动项:
systemctl list-unit-files --type=service | grep enabled > enabled_services.txt ls -lah /etc/init.d/ /etc/rc*.d/ # 传统SysV启动脚本
三、注意事项
- 最小化干扰:避免修改系统状态(如结束进程),优先收集只读信息。
- 完整性校验:使用可信工具(如从U盘启动的急救环境)避免依赖被篡改的系统命令。
- 日志保存:将命令输出重定向到文件(如
> output.txt),便于后续分析。 - 权限要求:部分命令需管理员权限(Windows的
管理员CMD,Linux的sudo)。
通过上述步骤,可快速获取系统关键信息,辅助判断是否存在恶意进程、异常驱动或未授权服务,为应急响应提供基础数据支持。
相关文章:
网络安全应急响应-系统排查
在网络安全应急响应中,系统排查是快速识别潜在威胁的关键步骤。以下是针对Windows和Linux系统的系统基本信息排查指南,涵盖常用命令及注意事项: 一、Windows系统排查 1. 系统信息工具(msinfo32.exe) 命令执行&#x…...
如何判断JVM中类和其他类是不是同一个类
如何判断JVM中的类是否为同一个类 在Java虚拟机(JVM)中,判断两个类是否相同需要同时满足以下三个条件: 1. 类全限定名必须相同 包括包名类名的完整路径必须完全一致例如:java.lang.String和com.example.String被视为不同类 2. 加载该类的…...
Prolog语言的共识算法
Prolog语言的共识算法 引言 在分布式计算和区块链技术的背景下,共识算法作为确保节点一致性的重要机制,受到了广泛关注。传统的共识算法如PBFT( Practical Byzantine Fault Tolerance )等在许多系统中得到了应用,但随…...
AIDD-深度学习 MetDeeCINE 破译代谢调控机制
深度学习 MetDeeCINE 破译代谢调控机制 目录 使用 FEP/REMD 和 DFT 方法准确预测药物多靶点绝对结合自由能的新途径。Scorpio 框架利用对比学习优化核苷酸序列表示,提升基因组分析效率,尤其在未知序列的分类和泛化能力上表现出色。LPM 模型整合多模态扰…...
pyTorch框架-迁移学习-实现四种天气图片多分类问题
目录 1.导包 2.加载原数据、创建训练与测试目录路径 3.用transforms.Compose、torchvision.datasets.ImageFolder数据预处理 4.加载预训练好的模型 5.固定与修改预训练模型的参数 6.将模型拷到GPU上 7.定义优化器与损失函数 8.定义训练过程 9.测试运行 10.测试结果…...
)
python1(基础语法输入输出)
输入输出: 输出 print(*objects, sep , end\n, filesys.stdout, flushFalse) objects:这是一个可变参数,意味着你可以传入任意数量的对象。print 函数会将这些对象依次打印出来。在函数内部,这些对象会被转换为字符串形式。 se…...
)
Linux:页表详解(虚拟地址到物理地址转换过程)
文章目录 前言一、分页式存储管理1.1 虚拟地址和页表的由来1.2 物理内存管理与页表的数据结构 二、 多级页表2.1 页表项2.2 多级页表的组成 总结 前言 在我们之前的学习中,我们对于页表的认识仅限于虚拟地址到物理地址转换的桥梁,然而对于具体的转换实现…...
安全组笔记)
OpenStack Yoga版安装笔记(十七)安全组笔记
一、安全组与iptables的关系 OpenStack的安全组(Security Group)默认是通过Linux的iptables实现的。以下是其主要实现原理和机制: 安全组与iptables的关系 OpenStack的安全组规则通过iptables的规则链实现。每条安全组规则会被转换为相应的i…...
keycloak健康检查(k8s))
开源身份和访问管理方案之keycloak(三)keycloak健康检查(k8s)
文章目录 开源身份和访问管理方案之keycloak(三)keycloak健康检查启用运行状况检查 健康检查使用Kubernetes下健康检查Dockerfile 中 HEALTHCHECK 指令 健康检查Docker HEALTHCHECK 和 Kubernetes 探针 开源身份和访问管理方案之keycloak(三&…...
)
棋盘问题(DFS)
在一个给定形状的棋盘(形状可能是不规则的)上面摆放棋子,棋子没有区别。 要求摆放时任意的两个棋子不能放在棋盘中的同一行或者同一列,请编程求解对于给定形状和大小的棋盘,摆放 kk 个棋子的所有可行的摆放方案数目 C…...
verilog学习--1、语言要素
先看一个例子 /*This is first Verilog progaram*/ timescale 1ns/1ns module HalfAdder(A,B,Sum,Carry);input A,B;output Sum, Carry; /**/assign #2 SumA^B;assign #5 CarryA&B; endmodule; Verilog以module为单位编写,每个文件一个module&#…...
from fastmcp import FastMCP和from mcp.server.fastmcp import FastMCP的区别是什么?
文章目录 困惑以方式一开启一个mcp server,并用cline进行调用mcp install server.py修改配置文件以方式二开启MCP server困惑 一直比较困惑的是,好像用python实现mcp server有两种实现方式。 一是使用: https://github.com/modelcontextprotocol/python-sdk 二是使用: …...
QT工程建立
打开软件新建一个工程 选择chose 工程命名,选择保存路径,可以自己选择,但是不要有中文路径 默认的直接下一步 任意选一个下一步 点击完成 之后是这个界面,点击右下角的绿色三角形编译一下 实验内容 添加类 第一个是建立cpp和.h文件…...
Day82 | 灵神 | 快慢指针 重排链表
Day82 | 灵神 | 快慢指针 重排链表 143.重排链表 143. 重排链表 - 力扣(LeetCode) 思路: 笔者直接给跪了,这个难度真是mid吗 直接去看灵神的视频 环形链表II【基础算法精讲 07】_哔哩哔哩_bilibili 1.简单来说就是…...
)
TCN-LSTM时间卷积长短期记忆神经网络多变量时间序列预测(Matlab完整源码和数据)
目录 效果一览基本介绍程序设计参考资料 效果一览 基本介绍 1.TCN-LSTM时间卷积长短期记忆神经网络多变量时间序列预测(Matlab完整源码和数据) 2.运行环境为Matlab2023b; 3.data为数据集,输入多个特征,输出单个变量&a…...
;)
语法: lcd_load( buffer_pointer, offset, length);
LCD_LOAD() 语法: lcd_load( buffer_pointer, offset, length); 参数: buffer_pointer指向发送给LCD的用户数据; offset是用来将该数据写入LCD,用作进入LCD segment memory的偏移量; length是传送的字节数. 要求: 没有. 功能: 该函数将从CPU的buffer_pointer存储区…...
)
分治(8题)
目录 一、快排 1.颜色分类 2.排序数组 3.数组中的第k个最大元素 4.最小的K个数 二、归并 1. 排序数组 2.数组中的逆序对 3.计算右侧小于当前元素的个数 4.翻转对 一、快排 1.颜色分类 75. 颜色分类 - 力扣(LeetCode) left和right,初…...
【9】数据结构的串篇章
目录标题 串的定义顺序串的实现初始化赋值打印串求串的长度复制串判断两个串长度是否相等连接两个串比较两个串内容是否相等插入操作删除操作调试与代码合集 串的模式匹配算法朴素的模式匹配算法KMP算法实现模式匹配 串的定义 定义:由0个或多个字符组成的有限序列&…...
Linux file命令
目录 一. file命令简介二. -b 输出结果不显示文件名三. --mime 输出文件的MIME类型字符串四. 批量确认文件类型4.1 -f 从指定的文件中读取文件路径,显示其文件类型4.2 配合find命令查找确认 一. file命令简介 由于Linux系统并不是像Windows系统那样通过扩展名来定义…...
ARM-UART
时钟选择PLCK,超时3ms自动发送,设置发送8位的缓冲区,且发送中断 设置触发深度,达到8字节将缓冲区数据发憷 中断处理函数...
AFT3 Engine传奇世界AFT3代引擎源码
此AFT3代引擎源码,不是老AFT0330版本,应该是WeiAFT的源码 本源码为新AFT3引擎源码,直接电脑打包出来, 现在市面上使用的AFT3引擎都是用的此款,下载编译即用 链接: https://pan.baidu.com/s/1Zxa64AQ7MUsdV2iIrqiTEg 提…...
)
[ 3分钟算法 ] | 递归搜索题目 : 翻转链表(递归版)
目录 1. 题目链接: 2. 思路分析: 思路一:从宏观上看 思路二:将链表看成一颗树 3. 代码 1. 题目链接: LCR 024. 反转链表 2. 思路分析: 思路一:从宏观上看 让当前节点后面的链表先逆置&…...
左值与右值,空间与数据
左值是空间,右值是数据 编程总是对“数据”,对"存放数据的空间"操作 a返回一个当前的数据,存放到一个临时空间中,自身的空间中的数据再进行运算 a直接对自身空间中的数据进行运算 其余知识: 1.变量名的意…...
线程池/内存池/mysql连接池
线程池介绍 ①线程池定义: 维持和管理固定数量线程的结构,用于解决资源频繁创建和销毁的问题。 ②线程池组成: 固定数量的线程、队列、任务状态管理。 ④线程池的作用: 避免频繁创建和销毁线程,管理线程状态&…...
图解AUTOSAR_SWS_FlexRayARTransportLayer
FlexRay AUTOSAR 传输层 (FrArTp) 分析 1. AUTOSAR FlexRay 传输层架构 1.1 FlexRay AUTOSAR 传输层在AUTOSAR架构中的位置 AUTOSAR分层架构中,FlexRay AUTOSAR 传输层(FrArTp)位于通信抽象层,其上方是PDU路由器,下方是FlexRay接口。FrArTp的主要功能是实现FlexRay网络上的…...
【百日精通JAVA | SQL篇 | 第四篇】约束
SQL这一块没什么难度,主要是一个熟练度,稍微上点难度的地方,其实在于查,比较复杂,涉及到很多问题。 指定列插入 使用指定列插入的时候,未被指定的列使用默认值进行存储,默认值为空。 默认值设置…...
)
QEMU源码全解析 —— 块设备虚拟化(16)
接前一篇文章:QEMU源码全解析 —— 块设备虚拟化(15) 本文内容参考: 《趣谈Linux操作系统》 —— 刘超,极客时间 《QEMU/KVM源码解析与应用》 —— 李强,机械工业出版社 《KVM实战 —— 原理、进阶与性能调优》—— 任永杰 程舟,机械工业出版社...
实验:IS-IS认证。
一、IS-IS认证的定义与作用分析 IS-IS认证是什么? IS-IS(Intermediate System to Intermediate System)协议是用于自治系统内部的路由协议,其认证机制主要用于保障路由信息交换的安全性,包括邻居关系建立和…...
11-产品经理-创建产品
在“产品”-“仪表盘”内,可以查看系统中关于产品及相关需求的统计。 在“产品”-“产品列表”页面,可以按项目集、项目查看其关联产品。还可以添加产品、编辑产品线、或者导出产品列表。 产品看板,通过看板方式查看产品、产品计划和产品下的…...
玄机-应急响应-入侵排查
靶机排查目标: 1.web目录存在木马,请找到木马的密码提交 查看/var/www/html。 使用find命令查找 find ./ -type f -name "*.php | xargs grep "eval("查看到1.php里面存在无条件一句话木马。 2.服务器疑似存在不死马,请找…...
)
MySQL基础知识(通俗版)
MySQL基础知识(通俗版) 一、MySQL基础概念 1.1 MySQL简介 想象MySQL就像一个超级大的Excel表格,但它比Excel更强大: 可以同时处理成千上万的数据可以保证数据的安全性和一致性可以支持多人同时操作可以自动备份和恢复数据 1.…...
python逆向:喜马拉雅登录案例
网址:登录 1. 点击到网页主页 先随便输入电话号码和密码 打开开发者工具,点击网络清空,然后点击登录发起网络请求 (出现一个请求包,我们发现不是我们所需要的) 我们进行验证滑块,就又出来请求…...
windows AndroidStudio上传maven中央仓库
一、插件地址:https://github.com/vanniktech/gradle-maven-publish-plugin?tabreadme-ov-file 二、Maven中心:https://vanniktech.github.io/gradle-maven-publish-plugin/central/ 2.1、中央门户帐户,用github账号登陆:gh122…...
-STM32F103 TXE 和TC)
嵌入式学习(35)-STM32F103 TXE 和TC
在USART的发送端有2个寄存器,一个是程序可以看到的USART_DR寄存器,另一个是程序看不到的移位寄存器,对应USART数据发送有两个标志,一个是TXE发送数据寄存器空,另一个是TC发送结束。 当USART_DR中的数据传送到移位寄存器后,TXE被设…...
linux Gitkraken 破解
ubuntu 安装 Gitkraken 9.x Pro 版本_gitcracken.git-CSDN博客...
Qwen-Agent框架的文件相关操作:从Assistant到BasicDocQA
在前面的几篇文章如《针对Qwen-Agent框架的Function Call及ReAct的源码阅读与解析:Agent基类篇》 、《基于Qwen-Agent框架的Function Call及ReAct方式调用自定义工具》、 《针对Qwen-Agent框架的源码阅读与解析:FnCallAgent与ReActChat篇》中,…...
)
2025年3月15日(5mw)
根据《NREL/TP-500-38060技术报告》,NREL 5-MW参考风力机的各部件质量及总体质量数据如下: 各部件质量数据 叶片(Blades) 单叶片质量:17,740 kg(见表2-2)总数:3片总质量:…...
docker mysql 笔记250406
docker mysql 笔记250406 以下是使用 Docker 运行 MySQL 的完整指南,包含常见配置和最佳实践: 1. 快速启动 MySQL 容器 docker run -d \--name mysql_db \-e MYSQL_ROOT_PASSWORDmy-secret-pw \-p 3306:3306 \mysql:8.02. 关键配置说明 2.1 环境变量&…...
ceph集群架构阐述
ceph集群架构阐述 首先,ceph集群也是分为客户端和服务端的,是一种高效的分布式存储系统,我们将其拆分为这两个部分来进行分析。 我大致的将服务端分为API类型、逻辑层、OSD层三个层面进行分析;将客户端按三种API类型挂载、…...
《Java八股文の文艺复兴》第十篇:量子永生架构——对象池的混沌边缘
目录 卷首语:蝴蝶振翅引发的量子海啸 第一章:混沌初开——对象池的量子涅槃(深度扩展) 第二章:混沌计算——对象复活的降维打击(技术深化) 第三章:量子试炼场——亿万级对象池全…...
程序地址空间)
(linux操作系统)程序地址空间
程序地址空间是什么? 讲这个问题之前,我们先来看一段熟悉的代码,以前学习C语言或者C语言时,就听说过程序内存分布,堆区,栈区,静态区,常量区,共享区,代码段&am…...
专业抑郁测试工具:让心理健康评估更简单
专业抑郁测试工具:让心理健康评估更简单 在这个快节奏的社会中,心理健康问题越来越受到人们的关注。为了帮助大家更好地了解自己的心理状态,我们开发了一款专业的在线抑郁测试工具。这个工具基于科学的心理量表设计,为用户提供准…...
C语言中单向链表:创建节点与插入新节点
一. 简介 单链表是一种常见且基础的数据结构,由一系列节点组成,每个节点包含数据和一个指向下一个节点的指针。 本文简单学习一下C语言中如何实现单项链表。 二. C语言实现单向链表 单向链表:单向链表是一种线性数据结构,由一…...
jsoncpp的使用
json提供的几个类: Value类:将json支持的数据类型进行包装,最终得到一个Value类型 FastWriter类:将Value对象中的数据序列化为字符串,序列化后可以得到json格式的字符串 Reader类:反序列化,将…...
【最新版】啦啦外卖v64系统独立版源码+全部小程序APP端+安装教程
一.系统介绍 啦啦外卖跑腿平台独立版,使用的都知道该系统功能非常强大,应该说是目前外卖平台功能最全的一套系统。主要是功能非常多,拿来即用,包括客户端小程序、配送端小程序、商户端小程序,还有对应四个端的APP源码…...
13-产品经理-产品多分支平台管理
禅道16.0版本开始,优化和增强了产品的分支/平台功能,主要特点如下: 多分支/平台功能兼容各种大小型项目,项目/迭代可以关联对应产品的某个分支/平台。分支/平台支持灵活管理,可以把分支/平台理解为时间层面的概念&…...
AI在医疗领域的应用
人工智能对医疗领域的革命性影响 一、智能诊断系统的突破 病理识别准确率提升乳腺癌检测准确率达94.6%(2023《Nature Medicine》)皮肤癌诊断灵敏度超过专业医师12%多模态诊断整合融合CT/MRI影像+基因组数据+电子病历急性肾损伤预测提前48小时(DeepMind)二、药物研发范式革…...
LabVIEW 在故障诊断中的算法
在故障诊断领域,LabVIEW 凭借其强大的图形化编程能力、丰富多样的工具包以及卓越的功能性能,成为工程师们进行故障诊断系统开发的得力助手。通过运用各种算法,能够对采集到的信号进行全面、深入的分析处理,从而准确地诊断出系统中…...
WebSocket创建流程)
(自用)WebSocket创建流程
在Spring Boot项目中新建WebSocket服务,可以按照以下详细步骤进行操作: 1.创建Spring Boot项目 可以通过Spring Initializr(<>)快速创建一个新的Spring Boot项目,添加Spring Web和Spring Boot DevTools依赖&…...
C++多线程编码二
1.lock和try_lock lock是一个函数模板,可以支持多个锁对象同时锁定同一个,如果其中一个锁对象没有锁住,lock函数会把已经锁定的对象解锁并进入阻塞,直到多个锁锁定一个对象。 try_lock也是一个函数模板,尝试对多个锁…...