windows常规应急
2022-7-28 16:38:10 Author: 星冥安全(查看原文) 阅读量:17 收藏

如果遇到windows服务器被木马或病毒入侵,我们可以从以下几种思路去排查

一.查看异常端口情况

netstat -ano:查看所有开放的端口

一般是查看已经建立连接的端口,也可以查看监听中的端口

netstat -ano | findstr "ESTABLISHED"  查看已经建立连接的端口

重点关注与外网ip建立的连接,最后一列为pid号,

netstat -ano | findstr "LISTENING" 查看监听中的端口,有点木马可能会在服务器开启一个监听端口,然后随机时间去连接。

tasklist | findstr "pid"   根据pid去定位进程名称

查看8212pid,可以看到对应进程为SearchHost.exe

输入msinfo32可以查看进程详细信息。

Wmic process where name="SearchHost.exe" get name,Caption,executablepath,CommandLine ,processid,ParentProcessId  /value根据进程名字查看进程执行时所使用的命令

Wmic process where processid="8212" get name,Caption,executablepath,CommandLine ,processid,ParentProcessId  /value根据pid号查看进程执行时所使用的命令

二.查看用户

net user 查看电脑上用户(隐藏用户需要在控制面板或注册表中查看)net user username 查看username用户详细信息query user 查看登录用户lusrmgr.msc 查看本地用户组regedit 查看注册表

三.查看启动项

msconfig 查看系统启动项

任务管理器查看开机自启项

查看注册表启动项

regedit打开注册表

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

四.查看系统定时任务

老系统使用at命令

win10以上使用schtasks

查看任务清单C:\Windows\System32\Tasks

五.查看系统服务

net start 查看系统开启的服务

services.msc

查看服务所在路径 sc qc "服务名"

sc start "服务名" 开启服务
sc stop "服务名" 停止服务

sc delete "服务名" 删除服务

icacls "D:\everything"  查看目录权限

六.查看最近访问目录

%UserProfile%\Recent

可以查看最近动过的文件与目录等。

借鉴 http://wiki.tidesec.com/docs/emergency

文章来源: http://mp.weixin.qq.com/s?__biz=MzkxMDMwNDE2OQ==&mid=2247486615&idx=1&sn=530bc6b95a502dddf63ebbeba3450e5e&chksm=c12c3a51f65bb3476f8369344eb00a48119cfca677b5ec4a511ff0b1e488b6775507d2ae5851#rd
如有侵权请联系:admin#unsafe.sh