Windows入侵排查总结

查看账户

win+r输入lusrmgr.msc

排查隐藏账户

win+r输入regedit
查看HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users

系统日志分析

win+r输入eventvwr.msc -> windows日志

排查网络与端口

netstat -ano

排查进程

tasklist

检查自启动

win+r输入msconfig,查看自启动服务
win+r输入regedit,排查注册表以下目录:HKEY_CURRENT_USER\Software\micorsoft\Windows\CurrentVersion\Run;HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run;HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonc

检查计划任务

at

查看组策略

win+r输入gpedit.msc

排查最近打开文件

win+r输入%UserProfile%\Recent

检查服务

win+r输入services.msc

排查粘滞键后门

使用第三方软件分析C:\Windows\System32\sethc.exe

还有看web服务器日志d盾扫描

想到啥补充啥

posted @ 2022-03-22 08:41  Yu_so1dier0n  阅读(95)  评论(0编辑  收藏  举报