基本信息
msinfo32 命令
①系统信息工具:输入 msinfo32 命令,打开系统摘要信息窗口
② 正在运行的任务:系统摘要 ->软件环境 ->正在运行的任务,
可以看到正在运行的任务名称、路径、进程ID等信息
③ 服务:在系统摘要 ->软件环境 -> 服务 选项,查看服务的名
称、状态、路径等信息
④ 系统驱动程序:软件环境 -> 系统驱动程序,可以查看系统驱
动程序的名称、描述、文件等信息
⑤ 加载的模块:软件环境 ->加载的模块,查看加载的模块的名
称、路径等信息
⑥ 启动程序:软件环境 -> 启动程序,查看启动程序的命令、用
户名、位置等信息
用户信息
net user
右键管理
启动项
启动项是指在操作系统启动时自动运行的程序或进程。了解启动项对于渗透测试和系统安全评估非常重要,因为恶意软件或攻击者可能会利用启动项来实现持久化驻留或执行恶意操作。
命令行输入msconfig
计划任务
计划任务是操作系统提供的一种功能,允许用户在特定时间或条件下自动执行指定的任务或程序。
powershell 输入 get-scheduledtask
获取任务计划
进程排查
进程是计算机中正在运行的程序的实例。每个进程都有自己的内存空间、执行上下文和资源分配。进程可以通过操作系统进行创建、调度、执行和终止。
1. **进程标识符(PID)**:每个进程都有一个唯一的标识符,用于在操作系统中标识该进程。
2. **进程状态**:进程可以处于不同的状态,如运行、就绪、阻塞等。了解进程的状态可以帮助你确定其当前的执行情况。
3. **进程资源使用**:包括内存、CPU 时间、磁盘 I/O 等。了解进程的资源使用情况可以帮助你发现资源竞争或异常行为。
4. **进程监控**:可以使用各种工具和技术来监控系统中的进程,以检测异常行为、恶意进程或安全漏洞。 在渗透测试中,你可能会使用以下方法来获取进程信息:
查看进程与服务对应关系
netstat
通过netstat查看网络连接
服务排查
services.msc
文件痕迹排查
Recent文件主要存储了最近运行文件的快捷方式,可以通过分析最
近运行的文件,排查可疑文件,一般Recent文件在windows系统中
的存储位置:“运行”-> 输入 “ recent ”
时间排查
显示对2023/10/1后创建的txt文件进行搜索
forfiles /m *.txt /d +2023/10/1 /s /p c:\ /c "cmd /c echo @path @fdate @ftime" 2>null
日志排查
eventvwr.msc
工具
ScanVir - 云鉴定网 - 威胁情报|云扫描|多引擎在线杀毒|可疑文件分析
Dr.Web CureIt! — Скачать бесплатно (drweb.ru)
勒索病毒拦截|文件恢复_文档守护者保护文档安全 - 腾讯电脑管家
https://www.d99net.net/index.asp
360沙箱云 - 专业的高级威胁分析平台,洞悉恶意样本每一行为