初识应急响应 (持续更新中)
Posted Jach1n
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了初识应急响应 (持续更新中)相关的知识,希望对你有一定的参考价值。
Windows篇
系统信息
msinfo32 查看硬件、组件和软件环境信息等信息
在win+r或cmd中输入msinfo32
systeminfo查看主机名、系统版本、网卡信息和补丁等信息
用户信息
net user查看用户(看不到隐藏用户)
net user username查看某个用户的详细信息
lusrmgr.msc查看用户和组,可以查看隐藏用户
win+r或cmd输入lusrmgr.msc
可以自己创建一个隐藏用户用来测试
在此界面右键-新用户,输入用户名,在用户名后加上$即可
通过注册表查看用户
HKEY_LOCAL_MACHINE\\SAM\\SAM\\Domains\\Account\\Users
000001F4代表administrator账户
如果有其他用户F的值与000001F4的F的值一样,说明存在克隆账户
wmic useraccount get name,SID查看用户名和SID值
启动项
msconfig查看系统配置
win+r或cmd输入msconfig
win10开始就msconfig里看不了,需要通过任务管理器来看
通过以下注册表查看
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce
也可以在cmd输入reg query "注册表位置" 来查看具体内容
任务计划
taskschd.msc 查看任务计划
win+r或cmd输入taskschd.msc
schtasks 获取任务计划信息
查看任务计划的路径、名称、状态信息
powershell下输入Get-ScheduledTask
防火墙
netsh firewall show state查看防火墙状态
win+r或cmd输入firewall.cpl打开防火墙
高级设置中可以查看出入站规则
进程排查
在任务管理器,详细信息栏处,可以看到进程的详细信息
可以右键状态栏选择需要显示的内容
勾选路径名称和命令行,可以帮助我们去判断是否有可疑进程
tasklist命令可以显示进程名称、PID、会话名等信息
tasklist /svc查看进程对应的服务
tasklist /m 查看进程调用的模块信息
tasklist /m ntdll.dll 查看调用ntdll.dll模块的进程信息
tasklist /svc /fi "PID eq 14348" 根据pid值查找进程
查看pid为14348的进程
netstat命令可以显示网络连接信息
最右边的一列为网络状态
netstat -ano | findstr "ESTABLISHED" 查看已建立网络连接的信息
-a:显示所有连接和侦听端口
-n:以数字的形式显示地址和端口
-o:显示连接相关的进行id
根据对应的pid值用tasklist命令查找对应的进程
netstat -anb 显示在创建每个连接或侦听端口涉及的可执行程序(管理权限)
使用powershell进行排查
Get-WmiObject Win32_Process | select Name,ProcessId,ParentProcessId,Path
Get-WmiObject Win32_Process:获取进程信息
select Name,ProcessId,ParentProcessId,Path:进程对应的信息
使用wmic命令进行排查
显示进程名称,父进程id,进程id,进程路径,以csv格式显示
wmic process get name,parentprocessid,processid,executablepath /format:csv
服务排查
services.msc 查看服务项
win+r或cmd输入services.msc
msconfig 查看服务项
2021.12.27(待续)
以上是关于初识应急响应 (持续更新中)的主要内容,如果未能解决你的问题,请参考以下文章