windows入侵简单排查步骤

Windows入侵排查

一：检查系统账号

1、检查账号是否有弱口令

2、检查是否有新增、异常账号

确认方式：

a、打开cmd 输入：lusrmgr.msc 查看如果有异常的账号进行删除

b、net user 查看

3、检查服务器是否存在隐藏、克隆账号

a、打开注册表查看管理员对应的键值

b、使用D盾web查杀工具--检测克隆账号功能。

二：检查异常进程

1、检查端口异常链接情况

netstat -ano | findstr LIS、tasklist | findstr $pid

2、查看进程的详细信息

运行---输入msinfo32--软件环境--正在运行的任务 可以查看到进程的详细信息

3、可以使用process explorer分析进程信息

Process Explorer对进程以树形图的形式进行展示，这样方便我们观察父子进程之间的关系。从这里我们可以看出来，绝大部分的窗体应用程序都是explorer.exe的子进程，大部分的后台进程都在services.exe下面：

D盾进程查看

定位进程文件所在的位置：

a、D盾、任务管理器等右键可以查看到软件所在的目录

b、运行--输入wmic --输入process

三、检查启动项、定时任务

a、运行--输入msconfig可以查看启动项、服务

运行--输入regedit 查看注册表是否有异常的启动

HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

c、定时任务

运行---输入：taskschd.msc

四：登录日志

运行--输入eventvwr.msc，可以使用Log parser 分析登录、web日志等

五：查找异常文件

在敏感目录下可以按照时间排序，来查看哪些文件是最近修改的。可以通过搜索指定修改时间进行搜索，异常的文件可以dump下来使用第三方工具进行检测

六：使用第三方杀毒工具例如：腾讯管家、火绒

以上就是windows简单排查方式。