Windows快捷命令-应急响应

本文阅读 4 分钟
首页 安全分享,WEB安全 正文

目录

注意:

操作系统信息

查看操作系统信息

环境变量

账户和组

网卡

进程

计划任务

日志

文件

其他

查找隐藏用户

查找克隆用户

开始-运行==Win+R

查看操作系统信息

1.开始-运行-msinfo32-软件环境-启动程序

2.cmd-systeminfo 查看操作系统信息

3.开始-运行-appwiz.cpl-查看已安装的更新 //查看补丁信息(cmd-wmic qfe)

4.查看开放端口:cmd-netstat -ano(注意可疑的开放端口,如果主机未断网,那么可能正在外连,这时需要注意状态为ESTABLISHED:建立连接的端口)D:WindowsSystem32driversetcservice 用于查看端口对应信息

5.开机自启动:

任务管理器-启动

开始-运行-msinfo32-软件环境-启动程序

检查注册表regedit

计算机HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun

计算机HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

计算机HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce

查看环境变量:此电脑-右键属性-高级-环境变量

排查内容:

1.temp变量所在位置

2.path变量中的路径有没有异常增加(用户变量和系统变量)

3.pathext有没有包含一些异常后缀

1.开始-运行-cmd-net user

2.开始-运行-cmd-net user 用户名 查看用户上一次登陆的时间

3.开始-运行-lusrmgr.msc

4.C:user查看是否有多出的家目录

5.cmd-query user 查看在线用户

  排查项:注意是否存在异常用户、隐藏用户以及用户登录时间,结合日志查询

6.wmic useraccount查看用户(筛选结果中的某一项wmic useraccount get name,sid)

7.wmic group 查看组信息

8.开始-运行-compmgmt.msc-查看本地用户和组

1.网络和共享中心查看有无可疑网络

2.wmic nic 查看网卡信息

1.netstat -ano

2.tasklist

3.wmic process

4.终止进程:任务管理器或wmic process where processid=123 call terminate

排查项:

没有描述信息的进程

进程的数据

没有签名验证的进程

进程的路径是否合法

cpu和内存资源占用过高的进程

1.开始-运行-taskschd.msc

2.cmd-at或schtasks.exe

1.运行-eventvwr

2.wmic nteventlog

注:可以把日志导出为文本格式,notepad++打开,用正则表达式匹配远程登陆过的ip或者日期范围,通过事件id、类型、时间判断是否为攻击行为

4624:账户成功登录

4648:使用明文凭证登录

4778:重新连接到一台主机的对话

4779:断开一台主机的会话

1.开机自启有无异常文件

2.各个盘下的temp目录有无异常文件:C://Windows/temp(windows产生的临时文件)

3.浏览器浏览痕迹、下载文件、cookie信息  //根据不同的浏览器排查

4.windows中存放最近使用文档的快捷方式:开始-运行-%userprofile% recent

5.根据文件夹列表的时间顺序进行筛查,查找可疑文件,也可以指定范围

6.查看文件创建时间、修改文件、访问时间

7.获取可执行文件列表:wmic process where "not executablepath like '%windows%'" get

1.445端口存在文件共享:cmd-net share

2.查看服务:任务管理器,运行-services.msc

3.敏感目录排查

%windir%

%temp%

%userprofile% recent

%loaclappdata%

%appdata%

4.组策略:运行-gpedit.msc

wmic useraccount get name

注册表计算机HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames

控制面板-用户账户-管理其他账户

打开注册表:在users这个注册表中,F为权限键值,V为密码键值。判断一个用户是否为提权用户或者克隆用户,查看与管理员的F键值是否相同,相同则为提权用户

本文为互联网自动采集或经作者授权后发布,本文观点不代表立场,若侵权下架请联系我们删帖处理!文章出自:https://blog.csdn.net/m0_63127854/article/details/125161864
-- 展开阅读全文 --
BUUCTF Web [极客大挑战 2019]Knife
« 上一篇 06-24
安全面试之XSS(跨站脚本攻击)
下一篇 » 07-24

发表评论

成为第一个评论的人

热门文章

标签TAG

最近回复