应急响应 | win常见应急排查
💡
原文中文,约2000字,阅读约需5分钟。
📝
内容提要
本文介绍了Windows系统下常用的应急响应系统命令,包括系统排查、用户信息排查、进程排查、服务排查、文件痕迹排查、日志排查、内存分析、流量分析和威胁情报。还介绍了查看用户信息和启动项的命令和方法。
🎯
关键要点
-
应急响应需要全面排查系统,发现潜在问题。
-
常用的排查方面包括系统、用户信息、进程、服务、文件痕迹、日志、内存、流量和威胁情报。
-
系统排查使用msinfo32和systeminfo命令查看基本信息。
-
用户信息排查可通过net user命令、计算机管理窗口和注册表查看用户账户。
-
攻击者可能建立隐藏账户以进行远程控制。
-
启动项是开机时运行的程序,可能被恶意软件利用。
-
通过msconfig和注册表查看启动项,注册表是存储系统信息的重要数据库。
-
注册表的主要目录包括HKEY_CLASSES_ROOT、HKEY_CURRENT_USER、HKEY_LOCAL_MACHINE、HKEY_USERS和HKEY_CURRENT_CONFIG。
-
启动项通常位于HKEY_LOCAL_MACHINE\Software\M等位置。
❓
延伸问答
Windows系统应急响应时需要排查哪些方面?
应急响应时需要排查系统、用户信息、进程、服务、文件痕迹、日志、内存、流量和威胁情报等方面。
如何查看Windows系统的基本信息?
可以使用msinfo32和systeminfo命令查看Windows系统的基本信息。
攻击者在Windows系统中可能如何建立隐藏账户?
攻击者可能通过直接建立新账户、激活默认账户或建立以$结尾的隐藏账户来进行远程控制。
如何查看Windows系统中的启动项?
可以通过msconfig命令查看系统配置,或通过注册表查看启动项。
注册表在Windows系统中的作用是什么?
注册表是存储系统信息的重要数据库,包含系统所需的配置信息和用户设置。
如何通过命令行查看Windows用户信息?
可以使用net user命令查看用户信息,或使用wmic命令获取用户账户的名称和SID。
➡️
