一、账号排查:
windows账户有三种
1、正常用户:net user 能看到
2、隐藏用户:net user 看不到,但是可以在控制面板、lusrmgr.msc、用户组中看到
3、影子用户:只有注册表中能看到(HKEY_LOCAL_MACHIINE\SAM\SAM\Domains\accoimt\users)
二、网络信息排查:
非管理员 netstat -ano
本地地址:我自己开了什么端口,谁能链接我 0.0.0.0:135 127.0.0.1:80
外部地址:谁在链接我或者我在链接谁 0.0.0.0:0 34.117.64.64:443
管理员:netstat -anob
可疑:高位端口->进程排查->win10任务管理器-详细信息 右键 列选项 PID 打开可疑端口进程文件所在位置(Win11任务管理器ui界面美化 详细信息)
三、注册表排查:
regedit(Registry注册表+editor编辑器)一个用于存储系统和应用程序的数据库
1、用户自启动项(病毒文件开机自启动)
c:\Windows\Temp忽略权限,所有用户可以进行读写
HKEY_CURRENT_USER >SOFTWARE>Microsoft>windows>CurrentVersion>run
2、镜像劫持
四、计划任务排查:
taskschd.msc 通过任务名、任务位置等信息检查是否存在可疑任务
五、可疑服务排查:
services.msc
可疑文件:修改日期排序,使用查杀软件
注:以上操作可结合自动化工具(火绒剑)进行