账号排查

在红队的视角下，windows账户有三种

1. 正常用户 net user能看到

2. 隐藏用户 net user看不到，但是在控制面板、lusrmgr.msc 、用户组中能看到（在用户名后面有一个美元$符号）

   net localgroup administrators
   

3. 影子用户 只有注册表中能看到

注册表排查

默认情况下SAM打不开，需要右键选择权限，选择管理员账户并选择可操作名称，然后F5刷新

此处zhangsan$即为影子用户

windows有哪些自带的用户

• Administrator (管理员) :这是具有完全控制和访问权限的管理员账户。默认处于禁用状态。
• DefaultAccount (默认账户) :这是Windows 10中的一个预配置账户，用于应用程序容器和系统组件的身份验证。它主要用于提供安全性和隔离性。
• Guest (访客) :该账户提供了-一个受限制的用户环境，允许临时用户使用计算机但不能进行敏感操作或更改系统设置。通常情况下，默认情况下此账户处于禁用状态。
• WDAGUtilityAccount:这是Windows Defender Application Guard (WDAG)实用程序账户。WDAG 是一-种安全功能，可在Microsoft Edge浏览器中隔离和保护来自不受信任来源的网站和文件。

网络排查

网络信息排查netstat

非管理员情况下输入

• 本地地址：我自己开了什么端口，谁能连我

• 外部地址：谁在连接我，或者我在连接谁

  • 0.0.0.0:0 我谁也没连或者谁也没连我
  • x.x.x.x:x 判断该IP是否有危险，可以前往威胁情报平台查询

管理员终端输入

可以看到某个进程具体是由哪个程序进行运行

寻找可疑进程

任务管理器

点击详细信息选项卡

根据pid寻找可疑进程详细信息

冷知识

黑客喜欢把木马程序放在Temp目录里面

因为这个文件夹允许任意文件上传下载

进程排查（用火绒剑代替任务管理器会好一些，会显示详细信息）

重名进程处理方法

可以在任务管理器详细信息或者打开进程文件位置即可发现

相似进程名

在系统进程下的相同目录创建相似名字的进程文件

例：    monkey.exe    ->     m0nkey.exe

注册表排查

注册表(Registry, 繁体中文版Windows操作系统称之为登录档案)是Microsoft Windows中的一一个重要的数据库，用于存储系统和应用程序的设置信息。

• reg->register 注册表
• edit ->editor 编辑器

用户自启动项

(开机自启动， 黑客很多时候会把病毒文件设置开机自启)

• HKEY CURRENT USER\software\micorsoft\windows\currentversion\run
• HKEY LOCAL MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
• HKEY LOCAL MACHINE\Software\MicrosoftWindows\CurrentVersion\Runonce

镜像劫持

例 ：打开微信，结果变成打开木马
hkey_ local machine\software\microsoft\windows nt\currentversion\image file execution options

系统相关信息排查

计划任务

taskschd.msc

查看计划任务

服务

如何寻找流氓服务

手动排查

• 看名字
• 有描述的一般没问题

文件目录

system32目录里面的文件一般没问题，里面的文件一定不能删

可疑文件

最近打开的文件

自动化工具

一般杀毒软件杀不了做了免杀的杀毒软件

火绒剑可以