应急响应 - Windows进程分析,Windows网络分析,tasklist,wmic process
CSDN 2024-08-05 13:31:01 阅读 91
「作者简介」:CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者
「推荐专栏」:对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》
进程网络排查
一、Tasklist1、tasklist /v1、tasklist /svc2、tasklist /m
二、wmic process1、get2、/format:csv3、where4、call terminate5、delete
三、任务管理器四、netstat文末送书
一、Tasklist
tasklist命令用来查看计算机上的进程,默认显示所有进程。
1、tasklist /v
参数/v,可以显示详细信息,也就是显示所有字段。
1、tasklist /svc
参数/svc,可以显示进程和服务的对应关系。
参数 /fi
可以过滤,过滤的内容必须用双引号包裹。
例:过滤PID等于13508的进程。
例:过滤进程名等于cmd.exe的进程。
例:过滤指定用户正在运行的进程。
/fi 常用的连接符有:
eq:等于nq:不等于gt:大于lt:小于ge:大于等于le:小于等于
2、tasklist /m
参数/m,可以显示进程加载的dll文件。
过滤指定dll的调用情况。
二、wmic process
wmic process命令用来管理计算机上的进程,默认显示所有列、所有信息。
wmic process有45个字段,比tasklist更加详细。
wimic process默认展示的信息非常混乱,这里输出到文件中查看:
第一行是字段名(Caption,CommandLine等 ),第二行开始是内容。
1、get
使用get,过滤指定的字段。
比如:只显示 进程名、进程ID、父进程ID这三个字段。
2、/format:csv
参数/format用来指定显示的格式,即格式化。
比如:使用vsv格式展示。
需要注意的是,格式化必须配合get使用。
3、where
where可以过滤指定字段的内容。
比如:查看 processid等于452的进程。
4、call terminate
call terminate可以根据进程名结束指定进程,通常配合 where 使用。
例:结束 name等于notepad++.exe 的恶意进程。
5、delete
delete可以根据进程id结束指定进程,通常配合 where 使用。
例:删除 processid等于5300 的恶意进程。
三、任务管理器
使用Windows自带的任务管理器查看可疑进程。
四、netstat
netstat用来显示网络连接信息。
例:过滤443端口
常见网络状态(status字段):
LISTENING:监听状态ESTABLISHED:建立连接CLOSE_WAIT:对方主动关闭连接或网络异常导致连接中断
文末送书
当今社会,网络结构数据普遍存在于各行各业。如何从这些数据中挖掘出价值,并且解决实际问题,成为学界和业界共同关注的研究方向。 本书共七章。第一章主要讲解为什么关心网络结构数据,介绍了R语言及常用的包,同时整理了常用的网络数据集。第二章介绍了网络结构数据的定义及分类。第三章讲解了网络结构数据的可视化,重点介绍了针对大规模网络的可视化方法及网络的动态交互式可视化。第四章介绍了描述网络特征的各种统计量及重要的网络结构。第五章重点介绍了三种经典的网络结构数据模型,第六章主要介绍了网络结构数据中社区发现的相关概念及方法,并整理了常见的评价指标及标准数据集。第七章介绍了网络结构数据分析中的链路预测问题。
本书适合网络结构数据的初学者,国内首本成体系网络结构数据分析与应用教程,填补网络结构数据书籍空白;介绍网络结构数据分析方法,解析网络结构数据实际应用价值,全面掌握网络结构数据知识。
声明
本文内容仅代表作者观点,或转载于其他网站,本站不以此文作为商业用途
如有涉及侵权,请联系本站进行删除
转载本站原创文章,请注明来源及作者。