Windows-应急响应
一. 账户安全
query user 查看当前登录账户
logoff ID 注销用户id
net user 查看用户
net user username 查看用户登录情况
lusrmgr.msc 打开本地用户组HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Users\\ regedit注册表查看账户,确认系统是否存在隐藏账户
利用LogParser查看日志
https://www.microsoft.com/en-us/download/confirmation.aspx?id=24659
查询用户登录情况
LogParser.exe -i:EVT "SELECT TimeGenerated,EXTRACT_TOKEN(Strings,5,'|') AS USERNAME,EXTRACT_TOKEN(Strings,5,'|') AS SERVICE_NAME,EXTRACT_TOKEN(Strings,5,'|') AS Client_IP FROM 'C:\Users\wp_bj_windows\Desktop\安全.evtx' WHERE EventID=4624"
查询登录成功的事件
LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM 'C:\Users\wp_bj_windows\Desktop\安全.evtx' where EventID=4624"
二. 检查异常端口进程
目前连接
netstat -ano
netstat -ano | findstr "ESTABLISHED" #已经成功建立的连接
msfinfo32
利用wmic查看进程执行时的命令 约束条件 name
Wmic process where name='sqlceip.exe' getname,Caption,executablepath,CommandLine ,processid,ParentProcessId /value或者pid
Wmic process where processid='2352' get name,Caption,executablepath,CommandLine ,processid,ParentProcessId /value
三. 启动项
注册表
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
系统定时任务
win7系统利用at
schtasks | more
任务清单
C:\Windows\System32\Tasks
删除任务计划
建议删除任务计划时以管理员登录 SchTasks /Delete /TN 任务计划名称
五. 系统服务
services.msc
sc stop [服务名称]停止服务后,
sc delete [服务名称]删除服务
六. 文件
最近打开的文件
%UserProfile%\Recent
C:\Users 目录下文件
最新回复 (5)