应急响应 - Windows启动项分析,Windows计划任务分析,Windows服务分析

news/2024/4/24 23:23:40/

「作者简介」:CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者
「推荐专栏」:对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》

在这里插入图片描述

Windows应急响应

  • 一、启动项分析
    • 1、msconfig
    • 2、gpedit.msc
    • 3、注册表
    • 4、msinfo32
    • 5、启动菜单
  • 二、计划任务分析
    • 1、任务计划程序
    • 2、schtasks
  • 三、服务自启动分析

一、启动项分析

很多恶意程序会把自己添加到系统启动项中,在开机时自动运行。

1、msconfig

msconfig是Windows自带的系统配置实用程序,用来管理系统启动项、系统服务等。

WIN + R,输入msconfig,查看启动项中是否有异常的启动项目,有则禁用。

在这里插入图片描述

提示:Win10的启动项移动到任务管理器里面了。

2、gpedit.msc

gpedit.msc是Windows自带的本地组策略编辑器,可以查看启动/关机脚本。

WIN + R,输入gpedit.msc,打开本地组策略编辑器。

点击【Windows设置】-【脚本(启动/关机)】-【启动】,查看是否有异常的启动脚本,有则删除。

在这里插入图片描述

3、注册表

WIN + R,输入regedit,打开注册表。

1)用户设置的启动项是排查的重点,删除后不影响系统运行。

\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
在这里插入图片描述

2)系统设置的启动项,一般是第三方软件的驱动程序,谨慎删除,可能会对系统造成影响。

\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

在这里插入图片描述

3)系统启动项,不要随便删除,否则会影响系统的正常运行。

\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run

在这里插入图片描述

4、msinfo32

msinfo32是Windows自带的系统信息工具,可以查看系统的启动程序。

WIN + R,输入msinfo32,打开系统信息工具。

点【软件环境】-【启动程序】- 检查右侧启动程序是否有异常程序。

在这里插入图片描述

5、启动菜单

左下角【开始】-【所有程序】-【启动】,打开是一个目录,检查里面有没有异常启动项。

二、计划任务分析

很多恶意程序会把自己添加到计划任务中,在固定时间启动。

1、任务计划程序

控制面板里搜计划任务,打开任务计划程序。

在这里插入图片描述
或者WIN + R,输入taskschd.msc,打开任务计划程序。

在这里插入图片描述

检查是否有异常的计划任务。

2、schtasks

schtasks.exe是计划任务程序的命令执行方式,两者的操作实时同步。

打开cmd,输入schtasks,默认展示所有的计划任务。

在这里插入图片描述

三、服务自启动分析

WIN +R,输入services.msc,打开服务工具。

在这里插入图片描述

单击启动类型排序,重点查看启动类型为【自动】的服务。


http://www.ppmy.cn/news/47638.html

相关文章

深入拆解 Java 虚拟机-打卡|01 | Java代码是怎么运行的?

文章目录 Java代码是怎么运行的?几个为什么为什么在虚拟机中运行?Java 虚拟机具体又是怎样运行 Java 代码的呢?Java虚拟机的运行效率怎么样? 总结 Java代码是怎么运行的? 来来来,运行个"Hello word !“告诉我是…

C#内建接口:IComparable

目录 一、介绍 二、示例 注意:Array.Sort(people);调用了CompareTo方法 注意:WriteLine输出会调用ToString 三、笔试题实战 一、介绍 IComparable是一个接口,它定义了一个用于比较对象的方法CompareTo。在C#中,IComparable接…

第31天-贪心-第八章 ● 122.买卖股票的最佳时机II ● 55. 跳跃游戏 ● 45.跳跃游戏II

文章目录 1. 买卖股票的最佳时机2. 跳跃游戏3. 跳跃游戏 || 1. 买卖股票的最佳时机 - LeetCode链接 给你一个整数数组 prices ,其中 prices[i] 表示某支股票第 i 天的价格。 在每一天,你可以决定是否购买和/或出售股票。你在任何时候 最多 只能持有 一股…

PHP快速入门09-正则相关,附一定要学会的20个高频使用案例

文章目录 前言一、正则表达式介绍二、正则高频案例20个2.1 检查字符串是否以字母开头2.2 检查字符串是否以数字开头2.3 检查字符串是否包含特定字符2.4 检查字符串是否以特定字符结尾2.5 检查字符串是否为纯数字2.6 检查字符串是否为纯字母2.7 检查字符串是否为有效的电子邮件地…

C/C++每日一练(20230417)

目录 1. 字母异位词分组 🌟🌟 2. 计算右侧小于当前元素的个数 🌟🌟🌟 3. 加一 🌟 🌟 每日一练刷题专栏 🌟 Golang每日一练 专栏 Python每日一练 专栏 C/C每日一练 专栏 J…

前端开发中性能优化之较少http请求(缓存策略)

1.实现减少http请求逻辑如下 定义了一个fetchData函数,用于发起HTTP请求并返回响应结果。函数的实现逻辑如下: 将请求参数对象params转换为字符串,作为缓存对象的键cacheKey。 如果缓存对象中已经有该请求参数对应的结果,直接返回…

实在智能获评十大数字经济风云企业,2022余杭数字经济“群英榜”发布

4月17日,经专家评审、公开投票,由中共杭州市余杭区委组织部(区委两新工委)、中共杭州市余杭区经济和信息化局委员会主办评选的2022年度余杭区数字经济“群英榜”正式公示。其中,实在智能成功获评十大数字经济风云企业之…

Linux 操作系统中应该掌握的知识

下面是我从业整理的一部分需要掌握的内容: 1. 基本命令行操作 基本命令行操作:包括文件管理、进程管理、用户权限等方面的基本命令行操作。 下面是文件管理、进程管理和用户权限相关的一些命令和内容: 1.1 文件管理 ls:显示当…

嵌入式Linux(5):物理地址到虚拟地址映射

文章目录 理论知识1、使能了MMU以后有什么好处呢?2、MMU非常复杂,那么我们如何完成物理地址到虚拟地址的转换呢?3、如何查看哪些物理地址被映射过了呢?实例(RK3568) 理论知识 在Linux上面如果想要操作硬件,需要先把物…

python基础复习

文章目录 **string**boolList元组set字典bytes类型f-string条件控制语句ifMatch...case python推导式列表推导式字典推导式元组推导式 迭代器传递参数面向对象类默认函数不定长函数 Lambda 时隔一年捡起来,通过Python3 基本数据类型 | 菜鸟教程 (runoob.com)速刷 st…

酷雷曼一站式图片直播,助力品牌高效传播

传统模式下,摄影师拍摄会议、活动现场的照片后,一般需要7-10天时间才能完成成片交付,而实际上,由于新闻宣传的即时性,照片延迟交付,远远不能满足客户的需求。因此,即时图片直播技术应运而生&…

ROS学习第十节——参数服务器

前言:本小节主要是对于参数服务器参数的修改,需要掌握操作参数的函数使用 1.基本介绍 参数服务器实现是最为简单的,该模型如下图所示,该模型中涉及到三个角色: ROS Master (管理者)Talker (参数设置者)Listener (参数调用者) ROS Master …

Linux编译器 gcc与g++

Linux编译器 gcc/g工具 目录 Linux编译器 gcc/g工具1、程序的诞生2、gcc工具2.1 预处理2.2 编译2.3 汇编2.4 链接2.5 运行2.6 总结 3、静态链接与动态链接3.1 静态链接3.2 动态链接3.3 Linux下库的命名 1、程序的诞生 程序的编译过程: 1、预处理(头文件包…

嵌入式学习笔记——SPI通信的应用

SPI通信的应用 前言屏幕分类1.3OLED概述驱动芯片框图原理图通信时序显示的方式页地址、列地址初始化指令 程序设计初始化代码初始化写数据与写命令清屏函数 初始化代码字符显示函数 总结 前言 上一篇中介绍了STM32的SPI通信,并根据框图和寄存器进行了SPI通信的初始…

Microsoft Power Pages部署方案

目录 前言 一、环境准备 二、创建Power Pages应用程序 三、部署Power Pages应用程序

【靶场设计和渗透】

目录 一、前言 二、靶场设计 1、局域网 2、说明 三、渗透测试 1、信息收集 2、漏洞利用 四、后渗透利用 1、提权 2、权限维持 一、前言 为了深入贯彻学习网络安全法律法规,深入学习渗透测试知识,强化实战技能............ 编不出来了&#xff…

【Linux】man什么都搜不了,No manual entry for xxx的解决方案

本文首发于 慕雪的寒舍 man什么都搜不了,No manual entry for xxx的解决方案 系统 CentOS 7.6 1.问题描述 今天查手册的时候,发现man什么都查不了。不管是系统接口还是函数,都显示没有入口文档(No manual entry for)…

HttpServletResponse注意事项和细节和原理示意图

目录 HttpServletResponse HttpServletResponse 介绍 HttpServletResponse 类图 向客户端返回数据方法 处理中文乱码问题-方案 处理中文乱码问题-方案 2 请求重定向 请求重定向原理示意图 应用实例 DownServlet Java类 DownServletNew.java xml配置 请求重定向注意…

被裁员了,要求公司足额补缴全部公积金,一次补了二十多万!网友兴奋了,该怎么操作?...

被裁员后,能要求公司补缴公积金吗? 一位网友问: 被裁员了,要求公司把历史公积金全部足额缴纳,现在月薪2.3万,但公司每个月只给自己缴纳300元公积金,结果一次补了二十多万,一次性取出…

MySQL索引的底层结构

mysql索引的底层结构 MySQL中的索引索引的底层数据结构索引的类型普通索引主键索引唯一索引全文索引如何选择索引从表面的基本特性考虑性能和底层来分析 覆盖索引的定义回表操作 最左匹配原则 MySQL中的索引 本质是一种‘排好序的数据结构’,可以帮助快速查找数据。…