Windows入侵排查
2022/9/14 5:16:25
本文主要是介绍Windows入侵排查,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!
- 号安全
- 调取账号口令安全,检查弱口令账户
- 检查高权限组中是否存在越权账户
- 通过注册表查看隐藏克隆账户
-
- HKEY_LOCAL_MACHINE\SAM\Domains\Account\Users
- 事件查看器
- 应用日志
- 安全日志
- 系统日志
- web日志
- mssql日志
- mysql日志
- 检查可疑端口与进程
- netstat命令查看网络端口信息(netstat -ano)
- tasklist |findstr "事件ID",来查看系统正在运行的应用
- systeminfo(msinfo32),查看系统一些信息,补丁信息
- D盾
- 确认进程详情信息
- msinfo32,查询工作日志,确认进程是否存在异常启动
- 火绒剑
- D盾,重点查看没有签名的进程
- 进程排查
- 没有签名验证信息的进程
- 没有描述信息的进程
- 进程的启动用户
- 进程的路径是否合法
- CPU或内存资源占用时间过高的进程
- 合法端口号列表
- 找到服务文件,查询端口号是否合法
- C:\windows\System32\drivers\services
- 找到服务文件,查询端口号是否合法
- 检查系统启动项
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windows\CurrentVersion\Run
- HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
- 打开本地组策略,gpedit.msc本地组策略,检查是否存在启动脚本
- 检查计划任务
- cmd -- schtasks.exe命令
- 检查自启动服务
- services.msc命令
- 检查可疑文件
- cmd--recent
- c:\Users\zhangsan\Recent
- c:\Users\adminstrator\Recent
这篇关于Windows入侵排查的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!
- 2024-05-01为什么公共事业机构会偏爱 TiDB :TiDB 数据库在某省妇幼健康管理系统的应用
- 2024-04-26敏捷开发:想要快速交付就必须舍弃产品质量?
- 2024-04-26静态代码分析的这些好处,我竟然都不知道?
- 2024-04-26你在测试金字塔的哪一层?(下)
- 2024-04-26快刀斩乱麻,DevOps让代码评审也自动起来
- 2024-04-262024年最好用的10款ER图神器!
- 2024-04-2203-为啥大模型LLM还没能完全替代你?
- 2024-04-2101-大语言模型发展
- 2024-04-17基于SpringWeb MultipartFile文件上传、下载功能
- 2024-04-14个人开发者,Spring Boot 项目如何部署