Windows入侵排查

1. 号安全
   1. 　　调取账号口令安全，检查弱口令账户
   2. 　　检查高权限组中是否存在越权账户
   3. 　　通过注册表查看隐藏克隆账户
   • • 　　HKEY_LOCAL_MACHINE\SAM\Domains\Account\Users
2. 事件查看器
   1. 　　应用日志
   2. 　　安全日志
   3. 　　系统日志
   4.        web日志
   5. 　　mssql日志
   6.         mysql日志
3. 检查可疑端口与进程
   1. 　　netstat命令查看网络端口信息（netstat -ano）
   2. 　　tasklist |findstr "事件ID"，来查看系统正在运行的应用
   3.         systeminfo(msinfo32)，查看系统一些信息，补丁信息
   4.         D盾
4. 确认进程详情信息
   1. 　　msinfo32，查询工作日志，确认进程是否存在异常启动
   2. 　　火绒剑
   3.         D盾，重点查看没有签名的进程
5. 进程排查
   1. 　　没有签名验证信息的进程
   2. 　　没有描述信息的进程
   3.         进程的启动用户
   4.         进程的路径是否合法
   5.         CPU或内存资源占用时间过高的进程　
6. 合法端口号列表
   1. 　　找到服务文件，查询端口号是否合法
      1. 　　C:\windows\System32\drivers\services
7. 检查系统启动项
   1.         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windows\CurrentVersion\Run　
   2.         HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run
   3.         HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
   4. 　    打开本地组策略，gpedit.msc本地组策略，检查是否存在启动脚本
8. 检查计划任务
   1. 　　cmd -- schtasks.exe命令
9. 检查自启动服务
   1. 　　services.msc命令
10. 检查可疑文件
    1. 　　cmd--recent
    2.         c:\Users\zhangsan\Recent
    3.         c:\Users\adminstrator\Recent