windows应急响应

windows应急响应

查看启动项
windows运行命令打开启动项查看

1. msconfig

复制代码

利用注册表查看启动项

1. 计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

复制代码

查看windows日志

1. #打开日志管理器
   
2. eventvwr

复制代码

然后利用事件ID去排查相关的操作行为


登录类型：


文件排查
运行输入

1. #临时文件
   
2. %temp%
   
3. 
   
4. #最近打开的文件
   
5. %UserProfile%\Recent

复制代码

进程分析

1. #网络状态排查
   
2. netstat -ano
   
3. #进程排查
   
4. tasklist /svc
   
5. 
   
6. #PID定位
   
7. tasklist | find "pid"
   
8. wmic process get name,executablepath,processid | find 进程pid
   
9. wmic process where name="powershell.exe"

复制代码

windows服务项排查

1. #运行命令打开windows服务
   
2. services.msc

复制代码

主要查看服务属性


windows计划任务

1. #windows  xp/7/..
   
2. at
   
3. 
   
4. #windows10
   
5. schtasks

复制代码

打开计算机管理，排查计划任务


程序替换（shift后门）

在系统登录界面，连按5次shift触发粘贴键功能，所以将其替换为cmd.exe，替换之后登录界面连按5次shift将直接唤醒cmd命令框

常见的是替换Shift程序为cmd程序，连续按五下Shift键触发

文件路径：​​C:\WINDOWS\system32\sethc.exe​​

实现：将​​C:\WINDOWS\system32\​​底下的sethc.exe换成cmd.exe即可



账号排查

1. #运行命令
   
2. lusrmgr.msc

复制代码

利用注册表查询

1. #注册表地址
   
2. HKEY_LOCAL_MACHINE\SAM\SAM\Domains\account\Users\Names
   
3. #命令行查询
   
4. reg query HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names

复制代码

有些时候在SAM下面没有内容，这是因为没有权限进行查看，这时需要定位到

1. HKEY_LOCAL_MACHINE\SAM\SAM

复制代码

右键权限 完全控制


然后重新进行查询