检查系统账号安全
- 检查服务器是否有弱口令,远程管理端口是否对公网开放
- 检查方法:咨询管理员
- 查看服务器是否存在可以账号,新增账号
-
使用
lusrmgr.msc
命令查看
-
使用控制面板的"用户账户"功能
-
- 查看服务器是否存在隐藏账号,克隆账号
- 打开注册表,查看管理员对应键值
- 在
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\Administrator
处查找
- 在
- 使用D盾,集成对克隆账号检测的功能
- 打开注册表,查看管理员对应键值
- 结合日志,查看管理员登陆时间,用户名是否存在异常
-
使用
eventvwr.msc
命令查看
-
导出Windows安全日志,用Log Parser分析
-
检查异常端口,进程
-
检查端口连接情况,是否有远程连接,可以连接
-
netstat -ano
,定位可疑的已建立连接
-
根据netstat定位到的pid,再定位进程:
tasklist | findstr "<pid>"
-
-
检查进程
-
使用
msinfo32
查看进程的详细信息
-
查看进程对应的程序位置
-
在wmic使用process命令
-
在任务管理器右键进程,选择文件位置
-
-
使用D盾的进程查看功能,关注没有签名信息的进程
-
使用微软官方提供的Process Explorer工具进行排查
-
查看可以的进程及其子进程,主要观察以下内容:
-
没有签名验证信息的进程
没有描述信息的进程
进程的属主
进程的路径是否合法
CPU或内存资源占用长时间过高的进程
检查开机启动项
-
检查服务器是否有异常的启动项
-
【开始】->【所有程序】->【启动】
-
使用msconfig查看是否存在异常的启动项目
-
使用regedit查看开机启动项,重点关注下面三项
- HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
-
利用安全软件查看启动项,开机时间管理
-
使用gpedit.msc查看组策略
-
-
检查计划任务
- 在控制面板的任务计划处查看计划任务属性
- 使用at或schtasks命令查看计算机与网络上其他计算机之间的会话或计划任务
-
服务自启动
- 使用services.msc查看服务状态和启动类型,检查有无异常服务
- 使用services.msc查看服务状态和启动类型,检查有无异常服务
检查系统相关信息
- 查看系统版本以及补丁信息
- 使用systeminfo命令查看
- 查找可以目录及文件
- 查看用户目录
- 使用
%UserProfile%\Recent
命令分析最近打开的文件 - 回收站,浏览器下载目录,浏览器历史记录
- 修改时间在创建时间之前为的可疑文件
- 得到webshell,远控木马的创建时间,怎么找出同一时间范围内创建的文件
- 利用registry workshop注册表编辑器的搜索功能,可以找到最后写入时间区间的文件
- 利用计算机自带文件搜索功能,指定修改时间进行搜索
- 中文系统:
- 访问日期: xxxx-xx-xx
- 修改日期: xxxx-xx-xx
- 创建日期: xxxx-xx-xx
- 英文系统:
- dateaccessed: xxxx-xx-xx
- datemodified: xxxx-xx-xx
- datecreated: xxxx-xx-xx
- 中文系统: