1、临时文件
C:\Users\xxxx\Local Settings\Temp 或者 %temp%
c
2、浏览器相对文件
3、最近打开文件
%UserProfile%\Recent
4、文件修改时间
5、system32和hosts文件排查
6、网络连接
netstat -ano
D盾的网络连接
如果发现netstat的Pid有问题,可以再通过tasklist |findstr pid查找
7、流量分析wireshark
8、进程分析(火绒剑)
9、启动项排查
10、用户排查
**
从以下方面来进行查看
1) 是否有异常进程、用户 2) 敏感端口开放情况 3) 密码强度 4) 日志分析 5)异常启动项、服务、计划任务 6) 注册表信息 7) 其它
1)查看是否有隐藏账户
1、HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names 注册表查看隐藏账户
2、net user 查看账户信息
3、控制面板—-用户账号—-账号管理——》查看隐藏用户
4、计算机管理——本地用户和组—-》查看隐藏用户
5、如果检测出有异常账户则查看其登陆时间以及信息net user [name]
6、查看异常用户的日志,或者登陆与失败情况
1)输入eventvwr或者事件查看器查看日志
4624 成功
4625 失败
4672 使用超级管理员登陆
4720 创建用户
2)查看敏感端口是否开放
nmap
netstat -ano
netstat -ano | findstr “ESTAB” 查看已经成功建立连接的端口
3)D盾查杀
主机安全软件查杀
4)发现异常PID进程**
1、使用tasklist 列出进程表
使用msinfo32 可以查看正在运行任务
2、使用tasklist | findstr “PID” 查找特定PID信息,进程名称
使用tasklist /pid 1234 -f 强制关闭某个进程
wmic process where processid=”1234” delete 强制关闭某个进程
3、使用wmic process where (description=”xxxxx.exe”) 查看特定名称文件的路径
4、wmic process get caption,commandline /value >>1.txt 获取所有运行中的进程的命令行参数 一般用来看powershell
5、wmic process where caption="xxxxx.exe" get caption,commandline /value >>2.txt 获取特定 进程命令行参数<br /> 6、查看某些异常文件创建事件以及修改时间<br /> 7、检查开机自启动项 <br /> 1)win+r msconfig 是否存在异常,<br /> 2)注册表查看开机自启动
HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
3)查看C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup<br /> 使用PChunter(强大的手工杀毒软件)进行分析<br /> 使用[http://www.virscan.org/](http://www.virscan.org/)进行病毒分析<br /> 4)查看是否存在异常组策略 gpedit.msc
5)发现异常进程名称,或者异常IP
微步在线威胁情报社区查看
6)日志分析**
利用Log Parser 进行分析
4624 | 登录成功 |
---|---|
4625 | 登录失败 |
4634 | 注销成功 |
4647 | 用户启动的注销 |
4672 | 使用超级用户(如管理员)进行登录 |
4720 | 创建用户 |
7)查看计划任务
类似crontab CMD下 schtasks列出所有计划任务表
taskschd.msc 打开计划任务面板
查看开机自启动项 注册表<br /> ** HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVison\Run**