重要：任何时候确保自身安全！

检查

检查开机自启项

• 检查是否存在可疑程序

检查缓存文件

• C:/Windows/Temp

检查最近修改过的文件

• WIN+R -> %UserProfile%\Recent
• 检查创建时间、修改时间、访问时间排查可疑文件

检查注册表

• WIN+R -> regedit
• 1. 一般启动项计算机\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• 2. 重要启动项 没有找到目录
• 3. 非常重要启动项 计算机\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run

入侵排查

弱口令修改

排查新增账号

• 控制面板->用户账户 查看用户是否异常
• 使用D盾_WEB检测是否存在克隆账号或者隐藏账号
• 查看各个用户的登陆时间和用户名是否异常 4624

排查日志

• 和访问时间
• 事件查看器->windows日志->系统 6005 6006 查看用户登陆时间和退出时间
• 事件查看器->windows日志->安全 查看安全相关操作

Windows系统信息排查

• 1. 计划任务
• 控制面板 ->管理工具-> 任务计划程序

检查当用户登录时候执行的任务，禁用不熟悉和没必要的进程

• 异常端口和进程的排查

1. netstat -ano

   tasklist | findstr "1016"

2. win+r -> msinfo32 -> 软件环境-> 正在运行的任务

3. 任务管理器->详情信息

4. 通过D盾的web查杀工具，在工具中进行进程查看，重点关注一下没有签名信息的进程

隐藏后门

• 文件MD5校验

certutil hashfile <应用程序.exe>

• 文件对比

如果是网站，可以把网站代码下载下来，使用git或者对比工具进行对比

windows日志分析

• 默认存放路径

NT/Win2000/XP/Server 2003
C:\WINDOWS\system32\config\SysEvent.Evt
Vista/Win7/Win8//Win10/Server 2008/Server 2012
C:\WINDOWS\system32\winevt\Logs\System.evtx
win10系统日志文件默认存放在`%SystemRoot%\System32\Winevt\Logs`

• windows 事件日志类型

1. 信息（information）
    应用程序或服务的成功操作事件，如，登陆服务，搜索服务（1003）
2. 警告（Warning）
    磁盘空间不足，未找到打印机，数据库格式问题（642）
3. 错误（ERROR）
    功能和数据的丢失
4. 成功审核（Success Aduit）
    安全访问尝试成功，安全性日志，如，用户登录/注销、对象访问、特权使用，账户管理、策略更改、详细跟踪、目录服务访问、账户登录等事件
5. 失败审核（）
    安全访问尝试失败，如，用户访问网络驱动器失败

• 事件ID

其它，4672 特权登录
4625 
    用户为 SYSTEM 登录类型 为 5 是系统级，不用管
    用户为 当前用户 登录类型 为 7 用户手动登录

浏览器信息记录

• 历史记录中，查看是否有不熟悉的记录，黑客可能会通过浏览器下载木马和病毒
• 下载记录检查

总结

磨刀不误砍柴工！了解系统开个好头。

学习参考内容：

xz.aliyun.com/t/10434?tim… github.com/Bypass007/E…