应急响应 - Windows进程分析,Windows网络分析,tasklist,wmic process

「作者简介」:CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者
「推荐专栏」:对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》

应急响应 - Windows进程分析,Windows网络分析,tasklist,wmic process_第1张图片

进程网络排查

  • 一、Tasklist
    • 1、tasklist /v
    • 1、tasklist /svc
    • 2、tasklist /m
  • 二、wmic process
    • 1、get
    • 2、/format:csv
    • 3、where
    • 4、call terminate
    • 5、delete
  • 三、任务管理器
  • 四、netstat

一、Tasklist

tasklist命令用来查看计算机上的进程,默认显示所有进程。

应急响应 - Windows进程分析,Windows网络分析,tasklist,wmic process_第2张图片


1、tasklist /v

参数/v,可以显示详细信息,也就是显示所有字段。

应急响应 - Windows进程分析,Windows网络分析,tasklist,wmic process_第3张图片

1、tasklist /svc

参数/svc,可以显示进程和服务的对应关系。

应急响应 - Windows进程分析,Windows网络分析,tasklist,wmic process_第4张图片

参数 /fi 可以过滤,过滤的内容必须用双引号包裹。

例:过滤PID等于13508的进程。

应急响应 - Windows进程分析,Windows网络分析,tasklist,wmic process_第5张图片

例:过滤进程名等于cmd.exe的进程。

应急响应 - Windows进程分析,Windows网络分析,tasklist,wmic process_第6张图片

例:过滤指定用户正在运行的进程。

应急响应 - Windows进程分析,Windows网络分析,tasklist,wmic process_第7张图片

/fi 常用的连接符有:

  • eq:等于
  • nq:不等于
  • gt:大于
  • lt:小于
  • ge:大于等于
  • le:小于等于

2、tasklist /m

参数/m,可以显示进程加载的dll文件。

应急响应 - Windows进程分析,Windows网络分析,tasklist,wmic process_第8张图片

过滤指定dll的调用情况。

应急响应 - Windows进程分析,Windows网络分析,tasklist,wmic process_第9张图片

二、wmic process

wmic process命令用来管理计算机上的进程,默认显示所有列、所有信息。

wmic process有45个字段,比tasklist更加详细。

wimic process默认展示的信息非常混乱,这里输出到文件中查看:

应急响应 - Windows进程分析,Windows网络分析,tasklist,wmic process_第10张图片

第一行是字段名(Caption,CommandLine等 ),第二行开始是内容。

应急响应 - Windows进程分析,Windows网络分析,tasklist,wmic process_第11张图片


1、get

使用get,过滤指定的字段。

比如:只显示 进程名、进程ID、父进程ID这三个字段。

应急响应 - Windows进程分析,Windows网络分析,tasklist,wmic process_第12张图片


2、/format:csv

参数/format用来指定显示的格式,即格式化。

比如:使用vsv格式展示。

应急响应 - Windows进程分析,Windows网络分析,tasklist,wmic process_第13张图片

需要注意的是,格式化必须配合get使用。


3、where

where可以过滤指定字段的内容。

比如:查看 processid等于452的进程。

应急响应 - Windows进程分析,Windows网络分析,tasklist,wmic process_第14张图片

4、call terminate

call terminate可以根据进程名结束指定进程,通常配合 where 使用。

例:结束 name等于notepad++.exe 的恶意进程。

应急响应 - Windows进程分析,Windows网络分析,tasklist,wmic process_第15张图片

5、delete

delete可以根据进程id结束指定进程,通常配合 where 使用。

例:删除 processid等于5300 的恶意进程。

应急响应 - Windows进程分析,Windows网络分析,tasklist,wmic process_第16张图片

三、任务管理器

使用Windows自带的任务管理器查看可疑进程。

应急响应 - Windows进程分析,Windows网络分析,tasklist,wmic process_第17张图片

四、netstat

netstat用来显示网络连接信息。

应急响应 - Windows进程分析,Windows网络分析,tasklist,wmic process_第18张图片

例:过滤443端口

应急响应 - Windows进程分析,Windows网络分析,tasklist,wmic process_第19张图片

常见网络状态(status字段):

  • LISTENING:监听状态
  • ESTABLISHED:建立连接
  • CLOSE_WAIT:对方主动关闭连接或网络异常导致连接中断

你可能感兴趣的:(《网络安全快速入门》,网络安全,chatgpt,人工智能)