网络安全应急响应-系统排查

在网络安全应急响应中,系统排查是快速识别潜在威胁的关键步骤。以下是针对Windows和Linux系统的系统基本信息排查指南,涵盖常用命令及注意事项:


一、Windows系统排查

1. 系统信息工具(msinfo32.exe)
  • 命令执行

    bash 复制代码
    msinfo32.exe  # 打开图形化系统信息窗口

    通过界面查看:

    • 正在运行的任务:软件环境 → 正在运行的任务。
    • 服务:软件环境 → 服务(显示所有服务状态)。
    • 系统驱动程序:软件环境 → 系统驱动程序。
    • 加载的模块:软件环境 → 加载的模块(DLL文件)。
    • 启动程序:软件环境 → 启动程序(注册表启动项)。
2. 命令行替代工具(高效收集信息)
  • 系统信息汇总

    bash 复制代码
    systeminfo > system_info.txt  # 导出系统配置概览
  • 进程与模块

    bash 复制代码
    tasklist /v > processes.txt      # 详细进程列表(含加载的DLL)
    wmic process list full > processes_wmic.txt
  • 服务与驱动

    bash 复制代码
    sc query type= service state= all > services.txt  # 所有服务状态
    driverquery /v > drivers.txt                     # 驱动程序详情
  • 启动项检查

    bash 复制代码
    wmic startup get caption,command,location > startup_items.txt
    reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"  # 注册表启动项
    reg query "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"

二、Linux系统排查

1. CPU信息
bash 复制代码
lscpu > cpu_info.txt           # CPU架构、核心数等
cat /proc/cpuinfo >> cpu_info.txt
2. 操作系统信息
bash 复制代码
uname -a > os_kernel.txt       # 内核版本、主机名等
cat /etc/os-release > os_distro.txt  # 发行版详细信息
lsb_release -a >> os_distro.txt
3. 内核模块信息
bash 复制代码
lsmod > loaded_modules.txt     # 已加载的内核模块
cat /proc/modules >> loaded_modules.txt
# 检查可疑模块(如名称异常):
grep -i "可疑关键词" loaded_modules.txt
4. 扩展排查建议
  • 进程与网络

    bash 复制代码
    ps aux > processes.txt       # 所有运行中的进程
    netstat -tulnp > network_connections.txt  # 网络连接与监听端口
    ss -tulnwp >> network_connections.txt     # 替代netstat
  • 启动项

    bash 复制代码
    systemctl list-unit-files --type=service | grep enabled > enabled_services.txt
    ls -lah /etc/init.d/ /etc/rc*.d/          # 传统SysV启动脚本

三、注意事项

  1. 最小化干扰:避免修改系统状态(如结束进程),优先收集只读信息。
  2. 完整性校验:使用可信工具(如从U盘启动的急救环境)避免依赖被篡改的系统命令。
  3. 日志保存 :将命令输出重定向到文件(如> output.txt),便于后续分析。
  4. 权限要求 :部分命令需管理员权限(Windows的管理员CMD,Linux的sudo)。

通过上述步骤,可快速获取系统关键信息,辅助判断是否存在恶意进程、异常驱动或未授权服务,为应急响应提供基础数据支持。

相关推荐
Johny_Zhao2 小时前
Linux防止rm误操作防护方案
linux·网络·人工智能·网络安全·信息安全·云计算·yum源·系统运维
黑客影儿1 天前
Go特有的安全漏洞及渗透测试利用方法(通俗易懂)
开发语言·后端·安全·web安全·网络安全·golang·系统安全
MicroTech20251 天前
微算法科技(NASDAQ: MLGO)引入高级区块链DSR算法:重塑区块链网络安全新范式
网络安全·区块链
网络安全大学堂2 天前
【黑客技术零基础入门】PHP环境搭建、安装Apache、安装与配置MySQL(非常详细)零基础入门到精通,收藏这一篇就够
安全·web安全·计算机·网络安全·黑客·信息安全·程序员
爱隐身的官人2 天前
应急响应-模拟服务器挂马后的应急相关操作
网络安全·应急响应
网安INF2 天前
【论文阅读】-《SIGN-OPT: A QUERY-EFFICIENT HARD-LABEL ADVERSARIAL ATTACK》
论文阅读·人工智能·网络安全·对抗攻击
网安INF3 天前
【论文阅读】-《HopSkipJumpAttack: A Query-Efficient Decision-Based Attack》
论文阅读·人工智能·深度学习·网络安全·对抗攻击
lingggggaaaa4 天前
小迪安全v2023学习笔记(六十二讲)—— PHP框架反序列化
笔记·学习·安全·web安全·网络安全·php·反序列化
Johny_Zhao4 天前
基于 Docker 的 LLaMA-Factory 全流程部署指南
linux·网络·网络安全·信息安全·kubernetes·云计算·containerd·yum源·系统运维·llama-factory
黑客影儿4 天前
Kali Linux 环境中的系统配置文件与用户配置文件大全
linux·运维·程序人生·安全·网络安全·系统安全·学习方法