Windows
别碰我,呀~~~
账户检查
先看有没有开小号
net user 查看用户,管理 本地用户和组用户
net user username 查看用户登录情况
lusrmgr.msc 打开本地用户组–window 10以下版本
日志查看
看一下对方干了什么,但一个优秀的入侵者会把日志删掉–此地无银三百两
win+r–>eventvwr.msc
最近文档
通过查看最近文档,最近数据交互,可以判断自己主机是否真的被入侵了,可能会有临时文件目录藏匿木马、dns污染指向黑客ip等
C:\Users\Administrator\Rcent–>系统临时文件(需要有一定的排查基础)
win+R–>%UserProfile%\Recent–>用户最近打开文件(直接欣赏你的过去)
注册表
注册表—win+r–>regedit
注册表主要注意以下几个位置
启动项注册表位置等\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
启动项
启动项排查:win+r–>msconfig
隐藏所有Microsoft服务,通过查看制造商、启动项名称查看是否有木马注入
可以配合Google、百度来一轮筛查