入侵排查

系统账户排查

查看系统是否存在可疑账号，黑客入侵的时候常常喜欢创建隐藏账号。

1、使用 net user 命令查看系统账户信息（但此方法不能查看到隐藏账号）：
2、进一步执行命令 net user xx 查看 xx 用户详细信息，注意 guest 用户是否启用，很多情
况下狡猾的红队并不会添加用户，而是启用 guest 用户：
3、执行命令 net user hacker$ 123456 /add 创建了一个隐藏的账号 hacker（账号名以$结尾的
为隐藏账号），net user 是查看不到隐藏账号的：
4、运行 Win+R--->lusrmgr.msc，通过本地用户和组的管理页面（或者“计算机管理”）的可
以查看到隐藏账户：
5、删除可疑账户（net user hacker$ /del）：

进程端口排查

先汇总下相关命令：

netstat -ano #查看所有网络连接及其 PID
netstat -ano | findstr 443 #过滤特定端口的网络连接
netstat -ano | findstr TCP #过滤 TCP 连接
tasklist | findstr 18544 #查看 PID 为 18544 的进程
taskkill /F /pid 18544 #强制结束进程
1、使用命令 netstat -ano 查看目前的网络连接，定位可疑的 ESTABLISHED 连接，执行结果
里面的 443 端口的连接一般是浏览器正在访问网页，但是下面这个外网的 8001 端口的连
接就不正常了
2、接下来使用 tasklist | findstr 3232 查找 PID=3232 的进程名称：
3、上面虽然找到进程名称，但是无法判断 Backdoor 文件的路径，故建议采用另一种方法，
Windows+R+输入 msinfo32，打开“系统信息功能”并依次点击“软件环境→正在运行任务”
就可以查看到进程的详细信息，比如进程路径、进程 ID、文件创建日期、启动时间等：
4、最后应急处置，当然是杀死进程并删除 Backdoor 文件，执行命令 taskkill /F /pid 3232：

启动项的排查

此项的目的是检查服务器是否有异常的启动项。

检查方法
1、单击【开始】>【运行】，输入 regedit，打开注册表，查看开机启动项是否正常，特别
注意如下三个注册表项：
\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
检查右侧是否有启动异常的项目，如有请删除，并建议安装杀毒软件进行病毒查杀，清除残
留病毒或木马:
2、检查组策略，运行 gpedit.msc：
以上是开关机以及用户登录注销时会启动的脚本，注意查看里面是否存放了恶意脚本。

计划服务排查

1、访问“计算机管理”功能，查看“任务计划程序库”，查看是否存在可疑的计划任务：
2、另一种查看方法是，执行命令 schtasks.exe，检查计算机与网络上的其它计算机之间的会
话或计划任务，如有，则确认是否为正常连接：

系统信息排查

1、查看系统版本以及补丁信息，可执行命令 systeminfo，查看系统信息：
2、排查当前用户最近打开文件，可以在文件管理器输入%userprofile%\recent，即可查看最
近打开的文件

日志信息排查

系统日志

1、Windows 的 C:\Windows\System32\winevt\Logs 路径下存放了系统各类日志文件：
2、双击选中 “Securuty” 安全事件日志文件，可进入事件查看器（另一种办法是 Win+R 打
开运行，输入“eventvwr.msc”，回车运行，直接打开“事件查看器”）：