windows应急响应系统排查清单

attrib +h 文件名/文件夹名 //隐藏文件
attrib +s +h 文件名/文件夹名 //升级成系统保存文件

widnows用户组（从低权限到高）

guests
user
administrators
system

windows注册表五单元信息

注册表：regedit
1.HKEY-CLASSES-ROOT: 存储windows可识别的文件类型的详细列表，以及相关联的程序2.HKEY-CURRENT-USER:存储当前用户设置的信息
3.HKEY-LOCAL-MACHINE，包括安装在计算机上的硬件和软件的信息
4.HKEY-USERS:包含使用计算机的用户的信息
5.HKEY-CURRENT-CONFIG: 包含计算机当前的硬件配置
数据结构分为根键，子键，键值项

端口&进程

wmic process get name,executablepath,processid

重点关注：msinfo32.exe

LISTENING 服务启动后处于监听
ESTABLSHE 建立连接，表示两台机器正在通信
CLOSE_WAIT 对方主动关闭连接或者网络异常导致连接中断，这时我方的状态或变成CLOSE_WAIT此时我方要调用close()来使得连接正确关闭
TIME_WAIT 我方主动调用close()断开连接，收到对方确认后状态变为TIME_WAIT

tasklist | findstr "320"

netstat -anob 需要管理员权限运行cmd

开机启动

C:\Windows\System32\GroupPolicy\Machine\Scripts\Startup
C:\Users\mi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

计算机\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

计算机\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

白名单
RtkAudUService64是一个与Realtek音频驱动程序相关的进程或服务
SecurityHealthSystray.exe是Windows操作系统中的一个进程，它与Windows Defender安全中心相关。

msconfig

任务管理器

组策略
gpedit.msc-windwos设置-域名解析策略-脚本（启动/关机）-脚本/powershell脚本

临时文件

C:\Users\mi\AppData\Local\Temp

dir %temp%

上传恶意文件

http://www.virscan.org //多引擎在线病毒扫描⽹ v1.02，当前⽀持 41 款杀毒引擎
https://habo.qq.com //腾讯哈勃分析系统
https://virusscan.jotti.org //Jotti恶意软件扫描系统
http://www.scanvir.com //针对计算机病毒、⼿机病毒、可疑⽂件等进⾏检测分析

计划任务

taskschd.msc 操作可以看到启动程序

cmd里面输入schtasks

查看在线登录用户

query user

查看用户
net user

查看隐藏用户

wmic useraccount get name,Sid
加$需要看注册表和lusrmgr.msc
计算机\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names
影子账号先看里面内容如0x1f4，再根据内容查看000001f4中的F进行比对，判断是否为克隆

敏感文件和目录查看

%WINDIR%实际上是windows系统默认设置的一个环境变量，表示windows系统等等安装目录

%WINDIR%\System32

Windows操作系统的系统文件夹。是操作系统的神经中枢。文件中包含了大量的用于windows系统的文件

%LOCALAPPDATA%

应用程序本地数据

文件痕迹排查

%UserProfile%\Recent 查看用户最近的打开文件

排查可疑进程

任务管理器&tasklist /svc查看对应的服务，tasklist /m查看对应加载的dll或者如tasklist /m ntdll.dll查加载该dll文件的程序

tasklist /svc /fi "PID eq 492"

入站规则 外对内访问
出站规则：内对外访问

netsh firewall show allowedprogram显示防火墙中的允许程序配置
netsh firewall show config 显示防火墙配置
netsh firewall show currentprofile 显示防火墙的当前配置文件
netsh firewall show icmpsettings 显示防火墙中的ICMP配置
netsh firewall show logging 显示防火墙中的日志记录配置
netsh firewall show notifications 显示winndows防火墙等等通知配置
netsh firewall show opmode显示winndows防火墙中的操作配置
netsh firewall show portopening显示windows防火墙中的端口配置
netsh firewall show service 显示防火墙中的服务配置
netsh firewall show state 显示windows防火墙等等当前状态