Windows入侵排查
账号
- 打开cmd,输入net user 查看存在账户
- 打开运行,输入regedit打开注册表,在HKEY_LOCAL_MACHINE>SAM>SAM>Domains>Account>Users>Names下查看存在的账户(如果进不去,修改文件夹权限为Administrator完全控制),并检查对应F值。
- 打开运行,输入eventvwr.msc,打开日志界面,导出日志,可以使用LogParser进行分析。
Logparser使用教程 - D盾,PC Hunter等工具
进程
- 打开cmd,输入netstat -ano,查找可疑的ESTABLISHED
- 打开运行,输入msinfo32,可以看到正在运行的程序
用定位PID定位进程:tasklist | findstr “pid”
用端口定位进程:netstat -ano | findstr “port”
强制杀死进程:taskkill /pid 123 /f - 工具
lastactivityview
processhacker
processexplorer
D盾 - 可疑进程
没有签名验证信息的进程
没有描述信息的进程
属主异常的进程
路径不合法的进程
CPU或内存资源 长时间或过高占用的进程
存在异常活动连接的进程
启动项
- WIN+R输入regedit打开注册表,进入HKLM>SOFTWARE>Windows>CurrnetVersion下的Run和RunOnce
- WIN+R输入regedit打开注册表,进入HKEY_CURRENT_USER>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
- 打开cmd,输入wmic startup list full
- 打开cmd,输入msconfig或任务管理器
- 工具使用
PC Hunter,Autoruns
计划任务
- 打开注册表,进入HKLM>SOFTWARE>Microsoft>Window NT>CurrentVersion>Schedule>Task Cache>Free
- 打开cmd,输入schtasks /query
- 打开运行,输入services.msc
Webshell查杀
D盾
河马
深信服Webshell
火绒剑