目录
一、系统排查
1、系统信息
系统信息工具:msinfo32.exe
使用命令行:
msinfo32 //查询计算机硬件和软件配置的详细信息
进行以下信息的排查:
系统驱动(描述、文件、开启状态等) 正在运行的任务(名称、路径、进程ID) 加载的模块 服务(名称、路径、状态等) 启动程序(命令、用户名、位置等)
systeminfo //查看系统信息
2、用户信息
net user
net user username
3、 启动项
通过检查启动项,可以发现隐藏的恶意软件、后门程序、恶意脚本等
任务管理器 - 启动项
注册表
HKEY_CLASSES_ROOT //确保在Windows资源管理器中执行时打开正确的程序
HKEY_CURRENT_USER //登录用户的配置、有用户的文件夹、屏幕颜色、控制面板设置
HKEY_LOCAL_MACHINE //计算机硬件信息、驱动
HKEY_USERS //所有用户配置文件的配置信息
HKEY_CURRENT_CONFIG //系统当前配置
4 、任务计划
-
攻击者可利用任务计划实现病毒的长期驻留
计算机管理 → 任务计划程序 → 任务计划程序库
powershell → Get-ScheduledTask
cmd → schtasks
二、进程排查
-
进程:系统资源分配和调度的基本单位
-
目的:识别可能存在的恶意或异常进程。通过观察进程列表,可以确定哪些进程是正常的系统进程,哪些是潜在的威胁或恶意软件。进程排查可以用于检测和响应各种安全事件,如恶意软件感染、后门程序、潜在的数据泄露等。
任务管理器 cmd > tasklist
进程和服务对应 cmd > tasklist /svc
加载dll进程 tasklist /m
加载特定dll tasklist /m name.dll
查看正在进行网络连接的进程cmd > netstat -ano | findstr 'ESTABLISHED'
-a 显示所有连接
-n 数字形式显示地址和端口
-o 显示进程id
//LISTENING:侦听状态。ESTABLISHED:建立连接。CLOSE_WAIT:对方主动关闭连接或网络异常导致连接中断。
</