windows无工具排查

• 使用开源火绒、后门工具、D_盾_web查杀工具、360安全卫士进行全局查杀搜寻异常文件程序。
• 在应急响应中，由于大部分文件的恶意软件，木马，后门都会在文件维度上留下痕迹。
• 人过留名，雁过留声，因此对文件痕迹的排查必不可少，可以从以下方面进行入手排查。

1.C:\Temp

• 系统盘的temp文件

2.部分文件被隐藏

• 勾选显示隐藏文件

3.命令执行 Dos执行

• 查看近期新增文件，缩小排查范围

• forfiles /m *.exe /d +2022/8/1 /s /p c:\ /c "cmd /c echo @path @fdate @ ftime"
  

4.查看启动项

• C:\Users\Administrator>msconfig
  

• 查看是否存在命令异常的启动项目，是则取消勾选命名异常的启动项目

  • 

5.打开注册表regedit 查看开机启动项是否正常

• C:\Users\test>regedit打开注册表，查看开机启动项是否正常。
  特别注意如下三个注册表项:
  	HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run 
  	HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 
  	HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
  检查右侧是否有异常的启动项。如果存在，则删除，并使用杀毒工具进行查杀清除。
  

6.查看windows进程

• 

7.端口排查

• netstat-ano
  

8.杀死进程

• tasklist |findstr pid
  

9.禁止远程编辑注册表信息设置

• 

万一解决不了问题只有重装服务器，对服务器进行一次安全加固防止二次入侵。