本文详细介绍了如何通过命令行和注册表查看系统基本信息、用户账户、启动项、任务计划等内容,包括使用msinfo、netuser、msconfig和schtasks等工具进行操作,以及识别可能的恶意行为如克隆用户和隐藏启动项。
系统基本信息
命令行中输入msinfo打开系统信息,可查看详细的系统信息
也可以使用systeminfo简单查看系统信息
用户信息
命令行中输入net user课显示用户账户信息,但无法查看到以$结尾的隐藏用户
使用net user username可以查看目标用户的详细信息
打开计算机管理依次找到 系统工具 --> 本地用户和组 --> 用户 可查看隐藏用户
此处的hack168就是一个隐藏用户
也可以使用lusrmgr.msc命令打开用户图形页面直接查看
打开注册表编辑窗口,选择HKEY_LOCAL_MACHINE下的SAM选项,勾选使用可从此对象继承的权限项目替换所有子对象的权限项目,使当前用户拥有SAM的读取权限
添加完成后刷新页面即可访问查看用户信息
逐个排查Users下所有以00000开头的项,如果F值与000001F4的F值相同,则可能为克隆用户。
00000F14项与Administrator用户对应
启动项
命令行输入msconfig命令,点击启动,可查看启动项详细信息
通过注册表查看启动项
恶意程序可能在以下注册表项中植入启动项
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run: 这个注册表项包含了系统启动时自动运行的程序列表。恶意程序可能会将自己的启动项添加到这里,以确保在系统启动时自动执行。
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce: 类似于上面的项,但这里列出的程序只会在下一次系统启动时执行一次。恶意程序可能会选择在这里添加启动项,以确保在下次系统启动时执行一次。
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run: 这个注册表项用于设置系统策略,其中包含在用户登录时自动运行的程序列表。虽然这个位置通常被管理员用于限制用户的启动项,但如果恶意程序获得了足够的权限,它也可能会在这里添加启动项。
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run: 这个注册表项类似于第一个项,但它是针对当前用户而不是整个系统的。如果恶意程序是针对特定用户的,它可能会将自己的启动项添加到这里。
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce: 同样,这个注册表项类似于第二个项,但它是针对当前用户的。
任务计划
打开计算机管理窗口,选择系统工具中的任务计划程序中的任务计划程序库,即可查看任务计划的详细信息
命令行输入schtasks查看计划任务详细信息
987
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
