• Windows快捷命令应急响应


    目录

    注意:

    操作系统信息

    查看操作系统信息

    环境变量

    账户和组

    网卡

    进程

    计划任务

    日志

    文件

    其他

    查找隐藏用户

    查找克隆用户


    注意:

    开始-运行==Win+R

    操作系统信息

    查看操作系统信息

    1.开始-运行-msinfo32-软件环境-启动程序

    2.cmd-systeminfo 查看操作系统信息

    3.开始-运行-appwiz.cpl-查看已安装的更新 //查看补丁信息(cmd-wmic qfe)

    4.查看开放端口:cmd-netstat -ano(注意可疑的开放端口,如果主机未断网,那么可能正在外连,这时需要注意状态为ESTABLISHED:建立连接的端口)D:\Windows\System32\drivers\etc\service 用于查看端口对应信息

    5.开机自启动:

    任务管理器-启动

    开始-运行-msinfo32-软件环境-启动程序

    检查注册表regedit

    计算机\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

    环境变量

    查看环境变量:此电脑-右键属性-高级-环境变量

    排查内容:

    1.temp变量所在位置

    2.path变量中的路径有没有异常增加(用户变量和系统变量)

    3.pathext有没有包含一些异常后缀

    账户和组

    1.开始-运行-cmd-net user

    2.开始-运行-cmd-net user 用户名 查看用户上一次登陆的时间

    3.开始-运行-lusrmgr.msc

    4.C:\user查看是否有多出的家目录

    5.cmd-query user 查看在线用户

      排查项:注意是否存在异常用户、隐藏用户以及用户登录时间,结合日志查询

    6.wmic useraccount查看用户(筛选结果中的某一项wmic useraccount get name,sid)

    7.wmic group 查看组信息

    8.开始-运行-compmgmt.msc-查看本地用户和组

    网卡

    1.网络和共享中心查看有无可疑网络

    2.wmic nic 查看网卡信息

    进程

    1.netstat -ano

    2.tasklist

    3.wmic process

    4.终止进程:任务管理器或wmic process where processid=123 call terminate

    排查项:

    没有描述信息的进程

    进程的数据

    没有签名验证的进程

    进程的路径是否合法

    cpu和内存资源占用过高的进程

    计划任务

    1.开始-运行-taskschd.msc

    2.cmd-at或schtasks.exe

    日志

    1.运行-eventvwr

    2.wmic nteventlog

    注:可以把日志导出为文本格式,notepad++打开,用正则表达式匹配远程登陆过的ip或者日期范围,通过事件id、类型、时间判断是否为攻击行为

    4624:账户成功登录

    4648:使用明文凭证登录

    4778:重新连接到一台主机的对话

    4779:断开一台主机的会话

    文件

    1.开机自启有无异常文件

    2.各个盘下的temp目录有无异常文件:C://Windows/temp(windows产生的临时文件)

    3.浏览器浏览痕迹、下载文件、cookie信息  //根据不同的浏览器排查

    4.windows中存放最近使用文档的快捷方式:开始-运行-%userprofile% recent

    5.根据文件夹列表的时间顺序进行筛查,查找可疑文件,也可以指定范围

    6.查看文件创建时间、修改文件、访问时间

    7.获取可执行文件列表:wmic process where "not executablepath like '%windows%'" get

    其他

    1.445端口存在文件共享:cmd-net share

    2.查看服务:任务管理器,运行-services.msc

    3.敏感目录排查

    %windir%

    %temp%

    %userprofile% recent

    %loaclappdata%

    %appdata%

    4.组策略:运行-gpedit.msc

    查找隐藏用户

    wmic useraccount get name

    注册表计算机\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names

    控制面板-用户账户-管理其他账户

    查找克隆用户

    打开注册表:在users这个注册表中,F为权限键值,V为密码键值。判断一个用户是否为提权用户或者克隆用户,查看与管理员的F键值是否相同,相同则为提权用户

  • 相关阅读:
    20172324 结对编程项目-四则运算 第三周 阶段总结
    20172324 结对编程项目-四则运算 第一周 阶段总结
    20172324 2017-2018-2《程序设计与数据结构》实验2报告
    20172324 2017-2018-2 《程序设计与数据结构》第七周学习总结
    2017-2018-2学期 20172324《Java程序设计》第六周学习总结
    20172307 2017-2018-2 《程序设计与数据结构》实验1报告
    20172307 2017-2018-2 《程序设计与数据结构》第3周学习总结
    23007 2017-2018-2 《程序设计与数据结构》第2周学习总结
    .20172307 2017-2018-2 《程序设计与数据结构》第1周学习总结
    寒假作业03
  • 原文地址:https://www.cnblogs.com/csnd/p/16676479.html
Copyright © 2020-2023  润新知