蓝队 | 应急响应 | 基本技能 | 01-系统排查

系统排查

目录

• 系统基本信息
  • Windows系统
  • Linux系统
• 用户信息
  • Windows系统
    • 1、命令行方式
    • 2、图形界面方法
    • 3、注册表方法
    • 4、wmic方法
  • Linux系统
    • 查看所有用户信息
    • 分析超级权限账户
    • 查看可登录的用户
    • 查看用户错误的登录信息
    • 查看所有用户最后的登录信息
    • 查看用户最近登录信息
    • 查看当前用户登录系统情况
    • 查看空口令账户
• 启动项
  • Windows系统
    • 通过系统配置查看
    • 通过注册表查看
  • Linux系统
• 计划任务
  • Windows系统
    • 1）计划任务程序库
    • 2）Get-ScheduledTask
    • 3）schtasks
  • Linux系统
• 防火墙

系统基本信息

Windows系统

在命令行输入【msinfo32】命令打开“系统信息”窗口

• Msinfo32.exe：Microsoft系统信息工具，是Microsoft Windows NT诊断工具（Winmsd.exe）的更新版本。
• 系统信息窗口中主要关注：正在运行任务、服务、启动程序、加载的模块、系统驱动程序…

如果只是简单了解系统信息，可以使用【systeminfo】命令查看

Linux系统

lscpu：cpu信息

uname -a：操作系统信息

cat /proc/version：操作系统版本信息

lsmod：已载入系统的模块信息

用户信息

Windows系统

1、命令行方式

net user   // 查看用户账户信息， 注意：看不到以$结尾的隐藏账户 
net user 用户名   // 查看某个用户的详细信息

2、图形界面方法

【计算机】-【管理】-【系统工具】-【本地用户和组】-【用户】

• 可查看以$结尾的隐藏账户
  

或者直接使用【lusrmgr.msc】打开本地用户和组

3、注册表方法

使用【regedit】命令打开注册表编辑器

• 其中的SAM需要添加读取权限（右击SAM-权限-选择当前用户-完全控制-确定-刷新）

注意将所有00000开头的项中的F值，与000001F4（管理员Administrator）的F值进行比较，如果相同，则存在克隆账户（影子用户）

• 影子用户只能通过注册表查看

4、wmic方法

wmic扩展WMI（Windows Managerment Instrumentation，Windows管理工具），提供从命令行接口和批命令脚本执行系统管理支持。

wmic useraccount get name,SID   // 查看系统中的用户信息

Linux系统

查看所有用户信息

• 最后显示/bin/bash表示可登录，/sbin/nologin表示不可登录

cat  /etc/passwd

分析超级权限账户

查看UID为0的超级用户，如果出现除了root之外其他为0的用户，需要重点排查

awk -F:'{if($3==0)print $1}' /ect/passwd  

查看可登录的用户

cat /etc/passwd | grep '/bin/bash'

查看用户错误的登录信息

• 查看用户错误的登录列表，包括错误的登录方法、IP地址、时间等

lastb

查看所有用户最后的登录信息

lastlog

查看用户最近登录信息

• 数据源为
• /var/log/wtmp：存储登录成功的信息
• /var/log/btmp：存储登录失败的信息
• /var/log/utmp：存储当前正在登录的信息

last

查看当前用户登录系统情况

who

查看空口令账户

awk -F: 'length($2)==0 {print $1}' /ect/shadow

启动项

Windows系统

Windows系统中的自动动文件是按照2个文件夹和5个核心注册表子健来自动加载程序的。

通过系统配置查看

msconfig

通过注册表查看

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LCOAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

Linux系统

cat /etc/init.d/rc.local
cat /etc/rc.local
ls -alt /etc/init.d

计划任务

Windows系统

1）计划任务程序库

【计算机管理】-【系统工具】-【计划任务程序】-【计划任务程序库】

taskschd.msc

2）Get-ScheduledTask

Get-ScheduledTask

3）schtasks

schtasks  // 需要是Administrators组的成员

Linux系统

crontab -l  // 查看当前用户的计划任务
crontab -u root -l  // 查看指定用户root的计划任务
ls  /etc/cron*   // 查看etc目录下的计划任务文件

通常包含以下文件：

/etc/cron.allow  
/etc/crontab
/etc/cron.d:
0hourly  dailyjobs  mdcheck  timezone.cron

/etc/cron.daily:
logrotate  man-db.cron  packagekit-background.cron  rpm

/etc/cron.hourly:
0anacron

/etc/cron.monthly:
/etc/cron.weekly:

防火墙

有些恶意软件会通过设置防火墙策略进行流量转发等操作，如驱动人生病毒对防火墙的设置。

打开【Windows Defender 防火墙】窗口，单击【高级设置】，然后选择【入站规则】或【出站规则】可查看防火墙的入站和出站规则。

也可以在命令行中输入【netsh】命令查看

netsh firewall show state  // 查看防火墙的状态

查看相关的命令帮助