网站的排版设计,30天网站建设实录视频云盘,网络设计工作,站群论坛进程#xff08;process#xff09;是计算机中的程序关于某数据集合上的一次运动活动#xff0c;是系统进行资源分配和调度的基本单位#xff0c;是操作系统结果的基础。在早期面向进程结构中#xff0c;进程是线程的容器。无论是在Windows系统还是Linux系统中#xff0c…进程process是计算机中的程序关于某数据集合上的一次运动活动是系统进行资源分配和调度的基本单位是操作系统结果的基础。在早期面向进程结构中进程是线程的容器。无论是在Windows系统还是Linux系统中主机在感染恶意程序后恶意程序都会启动相应的进程来完成相关的恶意操作有的恶意进程为了能够不被查杀还会启动相应的守护进行对恶意进程进行守护。
对于windows系统中的进程排查主要是找到恶意进程的PID、程序路径有时还需要找到PPIDPID的父进程及程序加载的DLL。对于进程的排查一般有如下几种方法。
任务管理器查看
比较直观的方法是通过【任务管理器】查看可疑程序。但是需要在打开【任务管理器】窗口后添加【命令行】和【映射路径名称】等进程页列如图所示以方便获取更多的进程信息。 在排查进程时可重点关注进程的映像路径名称及命令行是否可疑从而进一步进行排查如图所示程序iexplore.exe为可疑进程。
tasklist命令行排查
在命令行中输入【tasklist】命令可显示运行在计算机的所有进程可查看进程的映像名称、PID、会话名等信息如图所示 使用【tasklist】命令并添加特定参数还可以查看每个进程提供的服务如添加svc参数即输入【tasklist/svc】命令可以显示每个进程和服务的对应情况如图所示。 对于某些恶意加载DELL的进程可以通过输入【tasklist /m】命令进行查询如图所示。 要想查询特定DLL的调用情况可以使用命令【tasklist /m 名称】。如图所示。输入【tasklist/m ntdll.dll】命令可查询调用ntdll.dll模块的进程。 同时【tasklist】命令还有过滤器的功能可以使用【fi】命令进行条件筛选结合关系运算符【eq】等于、【ne】不等于、【gt】大于、【lt】小于、【ge】大于等于、【le】小于等于等命令进行有效过滤如图所示。 例如查看PID为992的进程可使用命令【tasklist /svc /fi PID eq 992】查看如图所示、。
netstat 命令行
在命令行中输入【netstat】命令可显示网络链接的信息包括活动的TCP链接、路由器和网络接口信息是一个监控TCP/IP网络的工具。相关参数如下 -a显示所有连接和侦听端口。-b显示在创建每个连接或侦听端口时涉及的可执行程序。-e显示以太网统计信息。可以与-s结合使用。-f显示外部地址的完全限定域名FQDN。-n以数字形式显示地址和端口号。-o显示拥有的与每个连接关联的进程ID。-p proto显示proto指定的协议的连接。-q显示所有连接、侦听端口和绑定的非侦听TCP端口。绑定的非侦听端口不一定与活动连接相关联。-r显示路由表。-s显示每个协议的统计信息。默认情况下显示IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP和UDPv6的统计信息。-t显示当前连接卸载状态。-x显示NetworkDirect连接、侦听器和共享终结点。-y显示所有连接的TCP连接模板。无法与其他选项结合使用。interval重新显示选的统计信息每次显示之间暂停时间间隔以秒计。常见的网络状态如下。 LISTRNING侦听状态ESTABLISHEN建立连接CLOSE_WAIT对方主动关闭连接或网络异常导致连接中断
在排查过程中一般会使用【netstat -ano | findstr ESTABLISHED】命令查看当前的网络连接定位可以的ESTABLISHED。如图所示。在排查中发现PID为2856的进程有大量的网络连接。 通过【netstat】命令定位出PID在通过【tasklist】命令进行程序定位发现PID为2856的进程有大量网络连接后使用【tasklist | find 2856】命令可查看具体的程序。 也可通过【netstat -anb】命令需要管理员权限快速定位端口对应的程序如图所示。
PowerShell排查
有时对于有守护进程的进程还要确认子夫进程之间的关系可以使用PowerShell进行查看一般PowerShekk在查询时会调用Wmi对象。【Get-WmiObject Win32_Process | select Name, ProcessId, ParentProcessId, path】 命令中 Get-WmiObject Win32_Process 表示获取进程的所有信息select Name, ProcessId, ParentProcessId, Path 表示选择 Name, ProcessId, ParentProcessId, Path 4 个字段整个命令表示显示 所有进程信息中的 Name, ProcessId, ParentProcessId, Path 4 个字段的内容。执行后的结果如图所示。 WMIC命令查询
在命令行中使用【wmic process】命令可以对进程情况进行查询。但使用【wmic process list full /format:cvs】命令即以cvs格式列出进程的所有信息此时命令列出的信息过多不便于阅读。因此可以使用【 wmic process get name,parentprocessid,processid /format:csv 】 其他类似命令如下。 【wmic process get ExecutablePath,processid /format:csv】命令表示以csv格式来显示进程路径、进程ID信息。 【wmic process get nameExecutablePath,processid,parentprocessid /format:csv findstr /I appdata】命令表示以CSV格式来显示进程的名称、进程路径、进程ID、父进程ID信息。
同时【wmic】命令还可以结合条件对进程进行筛选。 【wmic process where processid[PID] get parentprocessid 】命令以表示以PID的值作为条件来获取其父进程的PID情况。如图所示是获取PID的值为1820的进程的父进程PID的值获取到父进程PID的值为10556。
其他类似命令如下 【wmic process where processid[PID] get commandline 】命令表示以PID的值作为条件来获取其命令行。
在使用【wmic process】 命令查出恶意进程后会结束恶意进程一般使用命令如下 【wmic process where namemalware.exe call terminate】 命令是值删除malware.exe 恶意程序的进程。【wmic process where processid[PID] delete】命令是指删除PID为某值的进程。
