Windows入侵排查

本文主要是介绍Windows入侵排查，对大家解决编程问题具有一定的参考价值，需要的程序猿们随着小编来一起学习吧！

1. 号安全
   1. 　　调取账号口令安全，检查弱口令账户
   2. 　　检查高权限组中是否存在越权账户
   3. 　　通过注册表查看隐藏克隆账户
   • • 　　HKEY_LOCAL_MACHINE\SAM\Domains\Account\Users
2. 事件查看器
   1. 　　应用日志
   2. 　　安全日志
   3. 　　系统日志
   4.        web日志
   5. 　　mssql日志
   6.         mysql日志
3. 检查可疑端口与进程
   1. 　　netstat命令查看网络端口信息（netstat -ano）
   2. 　　tasklist |findstr "事件ID"，来查看系统正在运行的应用
   3.         systeminfo(msinfo32)，查看系统一些信息，补丁信息
   4.         D盾
4. 确认进程详情信息
   1. 　　msinfo32，查询工作日志，确认进程是否存在异常启动
   2. 　　火绒剑
   3.         D盾，重点查看没有签名的进程
5. 进程排查
   1. 　　没有签名验证信息的进程
   2. 　　没有描述信息的进程
   3.         进程的启动用户
   4.         进程的路径是否合法
   5.         CPU或内存资源占用时间过高的进程　
6. 合法端口号列表
   1. 　　找到服务文件，查询端口号是否合法
      1. 　　C:\windows\System32\drivers\services
7. 检查系统启动项
   1.         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windows\CurrentVersion\Run　
   2.         HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run
   3.         HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
   4. 　    打开本地组策略，gpedit.msc本地组策略，检查是否存在启动脚本
8. 检查计划任务
   1. 　　cmd -- schtasks.exe命令
9. 检查自启动服务
   1. 　　services.msc命令
10. 检查可疑文件
    1. 　　cmd--recent
    2.         c:\Users\zhangsan\Recent
    3.         c:\Users\adminstrator\Recent

这篇关于Windows入侵排查的文章就介绍到这儿，希望我们推荐的文章对大家有所帮助，也希望大家多多支持为之网！