目录
注意:
开始-运行==Win+R
操作系统信息
查看操作系统信息
1.开始-运行-msinfo32-软件环境-启动程序
2.cmd-systeminfo 查看操作系统信息
3.开始-运行-appwiz.cpl-查看已安装的更新 //查看补丁信息(cmd-wmic qfe)
4.查看开放端口:cmd-netstat -ano(注意可疑的开放端口,如果主机未断网,那么可能正在外连,这时需要注意状态为ESTABLISHED:建立连接的端口)D:\Windows\System32\drivers\etc\service 用于查看端口对应信息
5.开机自启动:
任务管理器-启动
开始-运行-msinfo32-软件环境-启动程序
检查注册表regedit
计算机\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
环境变量
查看环境变量:此电脑-右键属性-高级-环境变量
排查内容:
1.temp变量所在位置
2.path变量中的路径有没有异常增加(用户变量和系统变量)
3.pathext有没有包含一些异常后缀
账户和组
1.开始-运行-cmd-net user
2.开始-运行-cmd-net user 用户名 查看用户上一次登陆的时间
3.开始-运行-lusrmgr.msc
4.C:\user查看是否有多出的家目录
5.cmd-query user 查看在线用户
排查项:注意是否存在异常用户、隐藏用户以及用户登录时间,结合日志查询
6.wmic useraccount查看用户(筛选结果中的某一项wmic useraccount get name,sid)
7.wmic group 查看组信息
8.开始-运行-compmgmt.msc-查看本地用户和组
网卡
1.网络和共享中心查看有无可疑网络
2.wmic nic 查看网卡信息
进程
1.netstat -ano
2.tasklist
3.wmic process
4.终止进程:任务管理器或wmic process where processid=123 call terminate
排查项:
没有描述信息的进程
进程的数据
没有签名验证的进程
进程的路径是否合法
cpu和内存资源占用过高的进程
计划任务
1.开始-运行-taskschd.msc
2.cmd-at或schtasks.exe
日志
1.运行-eventvwr
2.wmic nteventlog
注:可以把日志导出为文本格式,notepad++打开,用正则表达式匹配远程登陆过的ip或者日期范围,通过事件id、类型、时间判断是否为攻击行为
4624:账户成功登录
4648:使用明文凭证登录
4778:重新连接到一台主机的对话
4779:断开一台主机的会话
文件
1.开机自启有无异常文件
2.各个盘下的temp目录有无异常文件:C://Windows/temp(windows产生的临时文件)
3.浏览器浏览痕迹、下载文件、cookie信息 //根据不同的浏览器排查
4.windows中存放最近使用文档的快捷方式:开始-运行-%userprofile% recent
5.根据文件夹列表的时间顺序进行筛查,查找可疑文件,也可以指定范围
6.查看文件创建时间、修改文件、访问时间
7.获取可执行文件列表:wmic process where "not executablepath like '%windows%'" get
其他
1.445端口存在文件共享:cmd-net share
2.查看服务:任务管理器,运行-services.msc
3.敏感目录排查
%windir%
%temp%
%userprofile% recent
%loaclappdata%
%appdata%
4.组策略:运行-gpedit.msc
查找隐藏用户
wmic useraccount get name
注册表计算机\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names
控制面板-用户账户-管理其他账户
查找克隆用户
打开注册表:在users这个注册表中,F为权限键值,V为密码键值。判断一个用户是否为提权用户或者克隆用户,查看与管理员的F键值是否相同,相同则为提权用户