目錄
注意:
作業系統資訊
檢視作業系統資訊
環境變量
賬戶群組
網卡
程序
計劃任務
日志
檔案
其他
查找隐藏使用者
查找克隆使用者
注意:
開始-運作==Win+R
作業系統資訊
檢視作業系統資訊
1.開始-運作-msinfo32-軟體環境-啟動程式
2.cmd-systeminfo 檢視作業系統資訊
3.開始-運作-appwiz.cpl-檢視已安裝的更新 //檢視更新檔資訊(cmd-wmic qfe)
4.檢視開放端口:cmd-netstat -ano(注意可疑的開放端口,如果主機未斷網,那麼可能正在外連,這時需要注意狀态為ESTABLISHED:建立連接配接的端口)D:\Windows\System32\drivers\etc\service 用于檢視端口對應資訊
5.開機自啟動:
任務管理器-啟動
開始-運作-msinfo32-軟體環境-啟動程式
檢查系統資料庫regedit
計算機\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
計算機\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
計算機\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
環境變量
檢視環境變量:此電腦-右鍵屬性-進階-環境變量
排查内容:
1.temp變量所在位置
2.path變量中的路徑有沒有異常增加(使用者變量和系統變量)
3.pathext有沒有包含一些異常字尾
賬戶群組
1.開始-運作-cmd-net user
2.開始-運作-cmd-net user 使用者名 檢視使用者上一次登陸的時間
3.開始-運作-lusrmgr.msc
4.C:\user檢視是否有多出的家目錄
5.cmd-query user 檢視線上使用者
排查項:注意是否存在異常使用者、隐藏使用者以及使用者登入時間,結合日志查詢
6.wmic useraccount檢視使用者(篩選結果中的某一項wmic useraccount get name,sid)
7.wmic group 檢視組資訊
8.開始-運作-compmgmt.msc-檢視本地使用者群組
網卡
1.網絡和共享中心檢視有無可疑網絡
2.wmic nic 檢視網卡資訊
程序
1.netstat -ano
2.tasklist
3.wmic process
4.終止程序:任務管理器或wmic process where processid=123 call terminate
排查項:
沒有描述資訊的程序
程序的資料
沒有簽名驗證的程序
程序的路徑是否合法
cpu和記憶體資源占用過高的程序
計劃任務
1.開始-運作-taskschd.msc
2.cmd-at或schtasks.exe
日志
1.運作-eventvwr
2.wmic nteventlog
注:可以把日志導出為文本格式,notepad++打開,用正規表達式比對遠端登陸過的ip或者日期範圍,通過事件id、類型、時間判斷是否為攻擊行為
4624:賬戶成功登入
4648:使用明文憑證登入
4778:重新連接配接到一台主機的對話
4779:斷開一台主機的會話
檔案
1.開機自啟有無異常檔案
2.各個盤下的temp目錄有無異常檔案:C://Windows/temp(windows産生的臨時檔案)
3.浏覽器浏覽痕迹、下載下傳檔案、cookie資訊 //根據不同的浏覽器排查
4.windows中存放最近使用文檔的快捷方式:開始-運作-%userprofile% recent
5.根據檔案夾清單的時間順序進行篩查,查找可疑檔案,也可以指定範圍
6.檢視檔案建立時間、修改檔案、通路時間
7.擷取可執行檔案清單:wmic process where "not executablepath like '%windows%'" get
其他
1.445端口存在檔案共享:cmd-net share
2.檢視服務:任務管理器,運作-services.msc
3.敏感目錄排查
%windir%
%temp%
%userprofile% recent
%loaclappdata%
%appdata%
4.組政策:運作-gpedit.msc
查找隐藏使用者
wmic useraccount get name
系統資料庫計算機\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names
控制台-使用者賬戶-管理其他賬戶
查找克隆使用者
打開系統資料庫:在users這個系統資料庫中,F為權限鍵值,V為密碼鍵值。判斷一個使用者是否為提權使用者或者克隆使用者,檢視與管理者的F鍵值是否相同,相同則為提權使用者