0


应急响应 - Windows进程分析,Windows网络分析,tasklist,wmic process

「作者简介」:CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者
「推荐专栏」:对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》

在这里插入图片描述

进程网络排查

一、Tasklist

tasklist命令用来查看计算机上的进程,默认显示所有进程。

在这里插入图片描述

1、tasklist /v

参数/v,可以显示详细信息,也就是显示所有字段。

在这里插入图片描述

1、tasklist /svc

参数/svc,可以显示进程和服务的对应关系。

在这里插入图片描述

参数

/fi

可以过滤,过滤的内容必须用双引号包裹。

例:过滤PID等于13508的进程。

在这里插入图片描述

例:过滤进程名等于cmd.exe的进程。

在这里插入图片描述

例:过滤指定用户正在运行的进程。

在这里插入图片描述

/fi 常用的连接符有:

  • eq:等于
  • nq:不等于
  • gt:大于
  • lt:小于
  • ge:大于等于
  • le:小于等于

2、tasklist /m

参数/m,可以显示进程加载的dll文件。

在这里插入图片描述

过滤指定dll的调用情况。

在这里插入图片描述

二、wmic process

wmic process命令用来管理计算机上的进程,默认显示所有列、所有信息。

wmic process有45个字段,比tasklist更加详细。

wimic process默认展示的信息非常混乱,这里输出到文件中查看:

在这里插入图片描述

第一行是字段名(Caption,CommandLine等 ),第二行开始是内容。

在这里插入图片描述

1、get

使用get,过滤指定的字段。

比如:只显示 进程名、进程ID、父进程ID这三个字段。

在这里插入图片描述

2、/format:csv

参数/format用来指定显示的格式,即格式化。

比如:使用vsv格式展示。

在这里插入图片描述

需要注意的是,格式化必须配合get使用。

3、where

where可以过滤指定字段的内容。

比如:查看 processid等于452的进程。

在这里插入图片描述

4、call terminate

call terminate可以根据进程名结束指定进程,通常配合 where 使用。

例:结束 name等于notepad++.exe 的恶意进程。

在这里插入图片描述

5、delete

delete可以根据进程id结束指定进程,通常配合 where 使用。

例:删除 processid等于5300 的恶意进程。

在这里插入图片描述

三、任务管理器

使用Windows自带的任务管理器查看可疑进程。

在这里插入图片描述

四、netstat

netstat用来显示网络连接信息。

在这里插入图片描述

例:过滤443端口

在这里插入图片描述

常见网络状态(status字段):

  • LISTENING:监听状态
  • ESTABLISHED:建立连接
  • CLOSE_WAIT:对方主动关闭连接或网络异常导致连接中断

文末送书

当今社会,网络结构数据普遍存在于各行各业。如何从这些数据中挖掘出价值,并且解决实际问题,成为学界和业界共同关注的研究方向。 本书共七章。第一章主要讲解为什么关心网络结构数据,介绍了R语言及常用的包,同时整理了常用的网络数据集。第二章介绍了网络结构数据的定义及分类。第三章讲解了网络结构数据的可视化,重点介绍了针对大规模网络的可视化方法及网络的动态交互式可视化。第四章介绍了描述网络特征的各种统计量及重要的网络结构。第五章重点介绍了三种经典的网络结构数据模型,第六章主要介绍了网络结构数据中社区发现的相关概念及方法,并整理了常见的评价指标及标准数据集。第七章介绍了网络结构数据分析中的链路预测问题。

在这里插入图片描述

本书适合网络结构数据的初学者,国内首本成体系网络结构数据分析与应用教程,填补网络结构数据书籍空白;介绍网络结构数据分析方法,解析网络结构数据实际应用价值,全面掌握网络结构数据知识。


本文转载自: https://blog.csdn.net/wangyuxiang946/article/details/129901130
版权归原作者 士别三日wyx 所有, 如有侵权,请联系我们删除。

“应急响应 - Windows进程分析,Windows网络分析,tasklist,wmic process”的评论:

还没有评论