Windows入侵排查
一:检查系统账号
1、检查账号是否有弱口令
2、检查是否有新增、异常账号
确认方式:
a、打开cmd 输入:lusrmgr.msc 查看如果有异常的账号进行删除
b、net user 查看
3、检查服务器是否存在隐藏、克隆账号
a、打开注册表查看管理员对应的键值
b、使用D盾web查杀工具--检测克隆账号功能。
二:检查异常进程
1、检查端口异常链接情况
netstat -ano | findstr LIS、tasklist | findstr $pid
2、查看进程的详细信息
运行---输入msinfo32--软件环境--正在运行的任务 可以查看到进程的详细信息
3、可以使用process explorer分析进程信息
Process Explorer对进程以树形图的形式进行展示,这样方便我们观察父子进程之间的关系。从这里我们可以看出来,绝大部分的窗体应用程序都是explorer.exe的子进程,大部分的后台进程都在services.exe下面:
D盾进程查看
定位进程文件所在的位置:
a、D盾、任务管理器等右键可以查看到软件所在的目录
b、运行--输入wmic --输入process
三、检查启动项、定时任务
a、运行--输入msconfig可以查看启动项、服务
运行--输入regedit 查看注册表是否有异常的启动
HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
c、定时任务
运行---输入:taskschd.msc
四:登录日志
运行--输入eventvwr.msc,可以使用Log parser 分析登录、web日志等
五:查找异常文件
在敏感目录下可以按照时间排序,来查看哪些文件是最近修改的。可以通过搜索指定修改时间进行搜索,异常的文件可以dump下来使用第三方工具进行检测
六:使用第三方杀毒工具例如:腾讯管家、火绒
以上就是windows简单排查方式。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。