Windows入侵排查总结

查看账户

win+r输入lusrmgr.msc

排查隐藏账户

win+r输入regedit
查看HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users

系统日志分析

win+r输入eventvwr.msc -> windows日志

排查网络与端口

netstat -ano

排查进程

tasklist

检查自启动

win+r输入msconfig，查看自启动服务
win+r输入regedit，排查注册表以下目录：HKEY_CURRENT_USER\Software\micorsoft\Windows\CurrentVersion\Run；HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run;HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonc

检查计划任务

at

查看组策略

win+r输入gpedit.msc

排查最近打开文件

win+r输入%UserProfile%\Recent

检查服务

win+r输入services.msc

排查粘滞键后门

使用第三方软件分析C:\Windows\System32\sethc.exe

还有看web服务器日志，d盾扫描等

想到啥补充啥

posted @ 2022-03-22 08:41 Yu_so1dier0n 阅读(93) 评论(0) 编辑收藏举报

会员力量，点亮园子希望

刷新页面返回顶部

Yu_so1dier0n

蹒跚学步

Windows入侵排查总结

公告