windows排查流程
一、检查系统账号
1.是否弱口令
2.(1)命令提示符窗口输入lusrmgr.msc查看是否有可疑账号或者d盾查看
(2)cmd里输入query user查看当前会话是否有人远程登陆,logoff “会话ID”可注销
(3)cmd里输入 net localgroup administrators查看本地组管理员是否添加了Guest, net user Guest查看此账号是否激活
net user Guest/active:no可关闭
3.查看系统日志的管理员登陆时间是否异常
运行eventvwr.msc或者在控制面板-管理工具里找到事件查看器,windows日志-安全,点击右侧筛选日志,输入ID4624,查看时间是否可疑 或者 点击右侧保存日志,用logparser分析,cmd输入:
Logparser.exe –i:EVT –o:DATAGRID "SELECT * FROM 实际文件路径 where EventID=4624"
二、检查端口进程
1.(1)cmd里输入netstat -ano,重点看状态为establelished的已建立连接的端口,可通过tasklist | findstr “PID” 找到进程名
运行%system%/system32/drivers/etc/services查看系统端口
(2)查看进程名和PID及其路径也可通过win+s搜索cmd,然后以管理员身份打开输入下方代码
wmic process where Caption='进程名' get ProcessId,Executablepath
wmic process where ProcessId='id名' get Caption,,Executablepath
2.(1)运行msinfo32打开系统信息,点击软件环境-正在运行的任务,查看进程路径,文件创建时间和启动时间
若明显不是系统进程,路径为C:/windows/system32则有问题
(2)D盾查看进程
(3)观察内容
没有签名验证信息的进程
没有描述信息的进程
进程的属主
进程的路径是否合法
CPU或内存资源占用长时间过高的进程
三、检查启动项、计划任务和服务
1.运行msconfig打开系统配置,查看启动项。也可在安全软件和组策略(运行gpedit.msc-windows设置-脚本)查看
2.控制面板-管理工具-任务计划,选中任务计划程序(本地),右侧点击查看所有正在运行的任务可查看木马
3.运行services.msc打开服务,查看自启的程序
四、检查系统信息
1.运行systeminfo,查看补丁版本是否为最新
2.在C:/user下和运行%userprofile%recent查看可疑目录和文件
五、日志分析
1.系统日志
(1)首先运行gpedit.msc打开本地组策略编辑器,计算机配置-windows设置-安全设置-本地策略-审核策略,全部开启审核
(2)事件查看器查看登录日志,如上一、3
2.web访问日志
1.打开服务器管理器,点击中间件,依次打开至网站,中间栏目双击日志可查看日志路径,修改创建新日志时间为每小时,高级设置里可查看服务器物理路径
2.将用d盾分析服务器物理路径文件查杀病毒
2.分析日志,关注末尾为“200”且访问目录于本地存在的记录,第二个ip于ipip.net查询是否为外国ip,若为可疑ip,则在wireshark或不断刷新netstat -ano 抓包,若出现本机ip访问可疑ip,根据pid找到进程路径并删除
打开wireshark,右侧选择接口,中间双击合适的连接(如win以太网,linux选eth0),在过滤器筛选:
ip.addr/dst/src == 目标ip (and tcp.port in {端口})
cmd里键入netstat -ano | find "目标ip"可查到pid
浙公网安备 33010602011771号