应急响应 | win常见应急排查
💡
原文中文,约2000字,阅读约需5分钟。
📝
内容提要
本文介绍了Windows系统下常用的应急响应系统命令,包括系统排查、用户信息排查、进程排查、服务排查、文件痕迹排查、日志排查、内存分析、流量分析和威胁情报。还介绍了查看用户信息和启动项的命令和方法。
🎯
关键要点
- 应急响应需要全面排查系统,发现潜在问题。
- 常用的排查方面包括系统、用户信息、进程、服务、文件痕迹、日志、内存、流量和威胁情报。
- 系统排查使用msinfo32和systeminfo命令查看基本信息。
- 用户信息排查可通过net user命令、计算机管理窗口和注册表查看用户账户。
- 攻击者可能建立隐藏账户以进行远程控制。
- 启动项是开机时运行的程序,可能被恶意软件利用。
- 通过msconfig和注册表查看启动项,注册表是存储系统信息的重要数据库。
- 注册表的主要目录包括HKEY_CLASSES_ROOT、HKEY_CURRENT_USER、HKEY_LOCAL_MACHINE、HKEY_USERS和HKEY_CURRENT_CONFIG。
- 启动项通常位于HKEY_LOCAL_MACHINE\Software\M等位置。
➡️
