1. windows分析排查
windows分析排查是对windows系统中的文件,进程,网络流量,系统信息,日志记录等进行检测,分析出windows系统中异常情况。
2. 开机启动项
开机启动项里的程序和文件是windows系统开机过程中启动的程序,通常攻击者入侵的时候通常会把病毒,后门程序隐藏到开机启动项里。
windows系统可以通过以下几种方式查看开机启动项:
1. 利用系统配置,win+R键输入msconfig,打开windows系统配置,单击启动选项,可查看启动项详细信息。
2. 利用注册表regedit:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
3. 利用操作系统中的启动菜单:C:\Users\用户名\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup , 如果文件夹被隐藏,在文件夹选项中改为显示隐藏文件。
3. temp临时异常文件
temp是一个临时文件夹,位于C:\Users\用户名\AppData\Local\Temp目录下,用于存放很多临时文件,例如收藏夹,浏览网页的临时文件,编辑文件等等。如果temp文件夹下有PE文件(exe,dll,sys)或特别大的tmp文件。
可以在windows的运行窗口输入:%temp% ,打开temp文件夹。
4. 检查系统用户
在cmd窗口输入lusrmgr.msc命令检查是否有异常用户,打开注册表查看对应的管理员的值。
net user命令会列出系统的所有用户,但是有些隐藏用户一般不会显示。
5. 异常端口,进程
使用netstat命令检查网络是否有异常链接,tasklist命令可以检查是否有异常进程:
tasklist /svc命令是查看进程所调用的服务。
tasklist /V命令可以显示进程的详细信息。
netstat命令可以通过 -h来查看选项。tasklist /?命令可以查看帮助手册,也可以通过微软官方的Process Explorer工具进行排查。
在cmd窗口中输入msinfo32命令,在系统信息中左边菜单中可以看到很多。
在运行窗口中输入wmic,在cmd窗口中输入process可以查看每个进程程序,并且还会列出每个进程的文件路径。
6. 检查异常服务,计划任务
1. 检查主机的启动项
2. 在运行窗口输入 msconfig查看是否有异常的启动项目
3. 查看是否有异常启动的注册表:
HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
4. 检查右侧是否有启动异常的项目,如有请删除,并建议安装杀毒软件进行病毒查杀,清除残留病毒或木马。
5, 利用安全软件查看启动项、开机时间管理等
6. 组策略,运行gpedit.msc
7. 检查计划任务
8. 在cmd窗口输入at命令查看服务计划启动
6万+
