標籤:windows 漏洞 分析 程式 進程 哪些 services system roo
1.net user 查看當前有哪些使用者
2.net localgroup administrators 查詢administrators最高許可權組有哪些使用者
3.net user administrator 查詢這個使用者上次登入的日期
4.找出異常帳號上次登入日期修改的時間,看攻擊者釋放了什麼檔案。
5.netstat -ano查看有哪些異常的進程及連接埠,然後找出異常的進程的PID號進行分析
6.tasklist|findstr PID號查詢連接埠對應的異常進程程式
7.用工作管理員尋找對應的進程所在的程式位置
8.查看是否有異常的服務
9.運行msconfig查詢是否有異常的啟動項
10.服務=》隱藏所有windows服務
11.啟動項=>啟動找出異常的啟動項在註冊表regedit上找出對應的刪除即可
12.刪除異常服務防住木馬再次感染 sc delete 服務名稱 services.msc查看服務或者net start
13.上述為大概瞭解入侵者在什麼地方留下什麼異常痕迹
14.netstat -ano 查詢開放了哪些連接埠,在windows防火牆是否連接埠封鎖
15.1.web層漏洞入侵的,系統漏洞入侵的,查看是否有可以的連接埠進行通訊,查看web目錄下是否有一句話木馬等。
16.查看防火牆規則是否屏蔽了危險的連接埠
17.%systemroot%\system32\config 查看系統日誌
18.eventvwr.msc 查看日誌是否有入侵的跡象
windows被入侵檢測
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
