Windows 应急响应

admin 2023年2月3日10:30:02评论25 views字数 1533阅读5分6秒阅读模式

一. 账户安全

query user  查看当前登录账户
logoff ID 注销用户id
net  user 查看用户
net user username 查看用户登录情况
lusrmgr.msc 打开本地用户组
HKEY_LOCAL_MACHINESAMSAMDomainsUsers\ regedit注册表查看账户,确认系统是否存在隐藏账户
Windows  应急响应
Windows  应急响应

利用LogParser查看日志

https://www.microsoft.com/en-us/download/confirmation.aspx?id=24659
Windows  应急响应
查询用户登录情况
LogParser.exe -i:EVT "SELECT TimeGenerated,EXTRACT_TOKEN(Strings,5,'|') AS USERNAME,EXTRACT_TOKEN(Strings,5,'|') AS SERVICE_NAME,EXTRACT_TOKEN(Strings,5,'|') AS Client_IP FROM 'C:Userswp_bj_windowsDesktop安全.evtx' WHERE EventID=4624"
Windows  应急响应
查询登录成功的事件
LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM 'C:Userswp_bj_windowsDesktop安全.evtx' where EventID=4624"
Windows  应急响应

二. 检查异常端口进程

目前连接
netstat  -ano
netstat -ano | findstr "ESTABLISHED" #已经成功建立的连接
Windows  应急响应
msfinfo32
Windows  应急响应
利用wmic查看进程执行时的命令 约束条件 name
Wmic process where name='sqlceip.exe' getname,Caption,executablepath,CommandLine ,processid,ParentProcessId /value
或者pid
Wmic process where processid='2352' get name,Caption,executablepath,CommandLine ,processid,ParentProcessId /value
Windows  应急响应

三. 启动项

Windows  应急响应
注册表
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunonce
Windows  应急响应

系统定时任务

win7系统利用at
schtasks | more
Windows  应急响应

任务清单

C:WindowsSystem32Tasks 
Windows  应急响应

删除任务计划

建议删除任务计划时以管理员登录 SchTasks /Delete /TN  任务计划名称

五. 系统服务

services.msc
Windows  应急响应
sc stop [服务名称]停止服务后,
sc delete [服务名称]删除服务

六. 文件

最近打开的文件
%UserProfile%Recent
Windows  应急响应

C:Users 目录下文件
声明:本公众号所分享内容仅用于网安爱好者之间的技术讨论,禁止用于违法途径,所有渗透都需获取授权!否则需自行承担,本公众号及原作者不承担相应的后果。


 热文推荐  


欢迎关注LemonSec

觉得不错点个“赞”、“在看”

原文始发于微信公众号(LemonSec):Windows -- 应急响应

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年2月3日10:30:02
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Windows 应急响应https://cn-sec.com/archives/1291249.html

发表评论

匿名网友 填写信息