一. 账户安全
query user 查看当前登录账户
logoff ID 注销用户id
net user 查看用户
net user username 查看用户登录情况
lusrmgr.msc 打开本地用户组
HKEY_LOCAL_MACHINESAMSAMDomainsUsers\
regedit注册表查看账户,确认系统是否存在隐藏账户利用LogParser查看日志
LogParser.exe -i:EVT "SELECT TimeGenerated,EXTRACT_TOKEN(Strings,5,'|') AS USERNAME,EXTRACT_TOKEN(Strings,5,'|') AS SERVICE_NAME,EXTRACT_TOKEN(Strings,5,'|') AS Client_IP FROM 'C:Userswp_bj_windowsDesktop安全.evtx' WHERE EventID=4624"
LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM 'C:Userswp_bj_windowsDesktop安全.evtx' where EventID=4624"
二. 检查异常端口进程
netstat -ano
netstat -ano | findstr "ESTABLISHED" #已经成功建立的连接
Wmic process where name='sqlceip.exe' getname,Caption,executablepath,CommandLine ,processid,ParentProcessId /value
Wmic process where processid='2352' get name,Caption,executablepath,CommandLine ,processid,ParentProcessId /value
三. 启动项
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunonce
系统定时任务
schtasks | more
任务清单
C:WindowsSystem32Tasks
删除任务计划
五. 系统服务
services.msc
sc stop
[服务名称]停止服务后,sc delete
[服务名称]删除服务六. 文件
%UserProfile%Recent
热文推荐
觉得不错点个“赞”、“在看”
原文始发于微信公众号(LemonSec):Windows -- 应急响应
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论