本文详细介绍了12项关键步骤,包括用户账号审计、自启动配置检查、异常进程追踪等,帮助你识别和应对系统中的恶意活动。通过Windows内置工具和日志审计,掌握组策略、注册表和网络连接等关键点,确保系统安全。
1.用户账号和组审计
1)描述:黑客通常对系统进行入侵后会添加后门账号,所以需要审计用户和组是否有被篡改的痕迹。
2)命令:lusrmgr.exe
3)检查方法:查看是否有可疑的用户名被创建,检查是否administrators组里有可疑的账户被授权。
2.自启动配置审计
1)描述:黑客修改自启动配置通常可以在系统启动之后加载黑客自定义脚本。
2)命令:msconfig.exe 或 wmic start up list full
3)检查方法:检查自启动程序信息,如非常规应用程序则需要定位程序位置,可配合360杀毒工具检查。
3.异常进程审计
1)描述:进程往往都是应急响应主要关注点之一,黑客维持对外通信都会在被入侵主机中打开独立进程,进程名经常会带迷惑性,例如svch0st.exe(应为
svchost.exe)或exp1orer.exe(应为explorer.exe)。
2)命令:taskmgr.exe中进程菜单或tasklist.exe
3)检查方法:仔细排查容易被木马感染的系统进程,定位进程源程序位置,可配合360杀毒工具进行查杀,对不确定的其他进程通过google查询进程功能,
有概率会获得恶意程序的威胁情报。
最低0.47元/天 解锁文章
扫一扫
2192
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
