初识应急响应 (持续更新中)

Posted 2021-12-28 Jach1n

Windows篇

​系统信息​

msinfo32 查看硬件、组件和软件环境信息等信息

在win＋r或cmd中输入msinfo32

systeminfo查看主机名、系统版本、网卡信息和补丁等信息

用户信息

net user查看用户(看不到隐藏用户)

net user username查看某个用户的详细信息

lusrmgr.msc查看用户和组，可以查看隐藏用户

win＋r或cmd输入lusrmgr.msc

可以自己创建一个隐藏用户用来测试

在此界面右键-新用户，输入用户名，在用户名后加上$即可

通过注册表查看用户

HKEY_LOCAL_MACHINE\\SAM\\SAM\\Domains\\Account\\Users

000001F4代表administrator账户

如果有其他用户F的值与000001F4的F的值一样，说明存在克隆账户

wmic useraccount get name,SID查看用户名和SID值

启动项

msconfig查看系统配置

win＋r或cmd输入msconfig

win10开始就msconfig里看不了，需要通过任务管理器来看

通过以下注册表查看

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce

也可以在cmd输入reg query "注册表位置" 来查看具体内容

任务计划

taskschd.msc 查看任务计划

win＋r或cmd输入taskschd.msc

schtasks 获取任务计划信息

查看任务计划的路径、名称、状态信息

powershell下输入Get-ScheduledTask

防火墙

netsh firewall show state查看防火墙状态

win＋r或cmd输入firewall.cpl打开防火墙

高级设置中可以查看出入站规则

进程排查

在任务管理器，详细信息栏处，可以看到进程的详细信息

可以右键状态栏选择需要显示的内容

勾选路径名称和命令行，可以帮助我们去判断是否有可疑进程

tasklist命令可以显示进程名称、PID、会话名等信息

tasklist /svc查看进程对应的服务

tasklist /m 查看进程调用的模块信息

tasklist /m ntdll.dll 查看调用ntdll.dll模块的进程信息

tasklist /svc /fi "PID eq 14348" 根据pid值查找进程

查看pid为14348的进程

netstat命令可以显示网络连接信息

最右边的一列为网络状态

netstat -ano | findstr "ESTABLISHED" 查看已建立网络连接的信息

-a：显示所有连接和侦听端口

-n：以数字的形式显示地址和端口

-o：显示连接相关的进行id

根据对应的pid值用tasklist命令查找对应的进程

netstat -anb 显示在创建每个连接或侦听端口涉及的可执行程序(管理权限)

使用powershell进行排查

Get-WmiObject Win32_Process | select Name,ProcessId,ParentProcessId,Path

Get-WmiObject Win32_Process：获取进程信息

select Name,ProcessId,ParentProcessId,Path：进程对应的信息

使用wmic命令进行排查

显示进程名称，父进程id，进程id，进程路径，以csv格式显示

wmic process get name,parentprocessid,processid,executablepath /format:csv

服务排查

services.msc 查看服务项

win＋r或cmd输入services.msc

msconfig 查看服务项

   2021.12.27（待续）

---