Windows快捷指令-應急響應

目錄

​​注意：​​

​​作業系統資訊​​

​​檢視作業系統資訊​​

​​環境變量​​

​​賬戶群組​​

​​網卡​​

​​程序​​

​​計劃任務​​

​​日志​​

​​檔案​​

​​其他​​

​​查找隐藏使用者​​

​​查找克隆使用者​​

注意：

開始-運作==Win+R

作業系統資訊

檢視作業系統資訊

1.開始-運作-msinfo32-軟體環境-啟動程式

2.cmd-systeminfo 檢視作業系統資訊

3.開始-運作-appwiz.cpl-檢視已安裝的更新 //檢視更新檔資訊（cmd-wmic qfe）

4.檢視開放端口：cmd-netstat -ano（注意可疑的開放端口，如果主機未斷網，那麼可能正在外連，這時需要注意狀态為ESTABLISHED：建立連接配接的端口）D:\Windows\System32\drivers\etc\service 用于檢視端口對應資訊

5.開機自啟動：

任務管理器-啟動

開始-運作-msinfo32-軟體環境-啟動程式

檢查系統資料庫regedit

計算機\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

計算機\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

計算機\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

環境變量

檢視環境變量：此電腦-右鍵屬性-進階-環境變量

排查内容：

1.temp變量所在位置

2.path變量中的路徑有沒有異常增加（使用者變量和系統變量）

3.pathext有沒有包含一些異常字尾

賬戶群組

1.開始-運作-cmd-net user

2.開始-運作-cmd-net user 使用者名 檢視使用者上一次登陸的時間

3.開始-運作-lusrmgr.msc

4.C:\user檢視是否有多出的家目錄

5.cmd-query user 檢視線上使用者

  排查項：注意是否存在異常使用者、隐藏使用者以及使用者登入時間，結合日志查詢

6.wmic useraccount檢視使用者（篩選結果中的某一項wmic useraccount get name,sid）

7.wmic group 檢視組資訊

8.開始-運作-compmgmt.msc-檢視本地使用者群組

網卡

1.網絡和共享中心檢視有無可疑網絡

2.wmic nic 檢視網卡資訊

程序

1.netstat -ano

2.tasklist

3.wmic process

4.終止程序：任務管理器或wmic process where processid=123 call terminate

排查項：

沒有描述資訊的程序

程序的資料

沒有簽名驗證的程序

程序的路徑是否合法

cpu和記憶體資源占用過高的程序

計劃任務

1.開始-運作-taskschd.msc

2.cmd-at或schtasks.exe

日志

1.運作-eventvwr

2.wmic nteventlog

注：可以把日志導出為文本格式，notepad++打開，用正規表達式比對遠端登陸過的ip或者日期範圍，通過事件id、類型、時間判斷是否為攻擊行為

4624：賬戶成功登入

4648：使用明文憑證登入

4778：重新連接配接到一台主機的對話

4779：斷開一台主機的會話

檔案

1.開機自啟有無異常檔案

2.各個盤下的temp目錄有無異常檔案：C://Windows/temp(windows産生的臨時檔案)

3.浏覽器浏覽痕迹、下載下傳檔案、cookie資訊  //根據不同的浏覽器排查

4.windows中存放最近使用文檔的快捷方式：開始-運作-%userprofile% recent

5.根據檔案夾清單的時間順序進行篩查，查找可疑檔案，也可以指定範圍

6.檢視檔案建立時間、修改檔案、通路時間

7.擷取可執行檔案清單：wmic process where "not executablepath like '%windows%'" get

其他

1.445端口存在檔案共享：cmd-net share

2.檢視服務：任務管理器，運作-services.msc

3.敏感目錄排查

%windir%

%temp%

%userprofile% recent

%loaclappdata%

%appdata%

4.組政策：運作-gpedit.msc

查找隐藏使用者

wmic useraccount get name

系統資料庫計算機\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names

控制台-使用者賬戶-管理其他賬戶

查找克隆使用者

打開系統資料庫：在users這個系統資料庫中，F為權限鍵值，V為密碼鍵值。判斷一個使用者是否為提權使用者或者克隆使用者，檢視與管理者的F鍵值是否相同，相同則為提權使用者