前言:
排查思路:
一、可疑账户
1、普通账户查询
Windows:右键计算机管理-本地用户和组-组(查看administrator组中是否有可疑账户,记录可疑账户,事件排查完毕后删除)
快捷命令: Win+r打开cmd,输入lusrmgr.msc
2、克隆账户:复制管理员账户F项值,拥有管理员相同权限及界面的伪装用户
例如:Hacker 账户类型值为0x3eb,找到对应000003EB文件打开,打开F项,比对0030后的首两位值是01F4而不是03EB,可判断是克隆账户。
注:若是系统默认账户被克隆,不能直接删除,可从其他正常机器复制正常F值进行覆盖。
可用D盾工具中的克隆账户检测处理。
二、可疑连接
任务栏-右键-资源管理器-性能-资源监视器打开windows自带的资源监视器查看网络连接情况,若目的IP为恶意IP(在情报中心查询),可确定为恶