windows和linux应急响应命令 9

windows

1、系统账户排查

net user列出所有用户，进行可疑账号排查。

 

2、检查异常端口

netstat -ano

 

3、检查可疑进程和服务

tasklist

 

4、可疑启动项排查

msconfig

 

5、查看登录日志

eventvwr.msc

 

6、恶意样本排查

 

 

linux

1、查看用户信息

查看用户的账号文件信息      cat/etc/passwd

用于储存在linux系统中用户的密码信息      cat/etc/shadow

 

2、查看历史命令

history

 

3、检查异常端口的进程，杀死进程

检查异常端口   netstat -tunlp

检查异常进程   ps aux

杀死进程   kill -9 PID号

 

4、检查linux的启动项和系统的定时任务

crontab -l crontab查看是否有异常的任务编写进来

 

5、检查linux的日志信息

/var/log目录下的一些系统日志信息、安全日志信息等。