Windows和Linux网络安全应急响应基础技能——如何进行系统排查以及检测恶意用户登录和网络流量日志分析。
一、Windows
基础排查时可使用Msinfo.exe,可以显示本地的硬件资源、组件和软件环境信息。可以对正在运行的任务、服务、系统驱动程序、加载的模块、启动程序进行排查。
恶意用户排查:
查询用户有四种方法
net user(此命令无法查看$结尾的隐藏用户)
net user [用户名] 查看用户信息
图形界面(此方法可以查看隐藏用户)
命令行输入
lusrmgr.msc
注册表查看,快捷键Win + R 输入以下命令:
regedit
路径为[HKEY_LOCAL_MACHINE]->[SAM]设置权限
查看0000开头项为用户,F4为administrator,如果发现F值是相同的,则说明有克隆用户
wmic
命令行输入
wmic useraccount get name,SID
任务计划排查:
版权声明:本文为u014374009原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。