标签：入侵 Users 查看 检查 Windows HKEY 排查 进程 日志

1. 号安全
   1. 　　调取账号口令安全，检查弱口令账户
   2. 　　检查高权限组中是否存在越权账户
   3. 　　通过注册表查看隐藏克隆账户
   • • 　　HKEY_LOCAL_MACHINE\SAM\Domains\Account\Users
2. 事件查看器
   1. 　　应用日志
   2. 　　安全日志
   3. 　　系统日志
   4.        web日志
   5. 　　mssql日志
   6.         mysql日志
3. 检查可疑端口与进程
   1. 　　netstat命令查看网络端口信息（netstat -ano）
   2. 　　tasklist |findstr "事件ID"，来查看系统正在运行的应用
   3.         systeminfo(msinfo32)，查看系统一些信息，补丁信息
   4.         D盾
4. 确认进程详情信息
   1. 　　msinfo32，查询工作日志，确认进程是否存在异常启动
   2. 　　火绒剑
   3.         D盾，重点查看没有签名的进程
5. 进程排查
   1. 　　没有签名验证信息的进程
   2. 　　没有描述信息的进程
   3.         进程的启动用户
   4.         进程的路径是否合法
   5.         CPU或内存资源占用时间过高的进程　
6. 合法端口号列表
   1. 　　找到服务文件，查询端口号是否合法
      1. 　　C:\windows\System32\drivers\services
7. 检查系统启动项
   1.         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windows\CurrentVersion\Run　
   2.         HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run
   3.         HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
   4. 　    打开本地组策略，gpedit.msc本地组策略，检查是否存在启动脚本
8. 检查计划任务
   1. 　　cmd -- schtasks.exe命令
9. 检查自启动服务
   1. 　　services.msc命令
10. 检查可疑文件
    1. 　　cmd--recent
    2.         c:\Users\zhangsan\Recent
    3.         c:\Users\adminstrator\Recent

标签：入侵,Users,查看,检查,Windows,HKEY,排查,进程,日志
来源： https://www.cnblogs.com/zhaoyunxiang/p/16658417.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。