Windows系统基础(2)

用户834976071000
5 阅读6分钟

Windows系统基础

系统权限

排查后门用户

本地用户和组

通过本地用户和组可以查看系统中所有的用户和组。 如果不是本机自带或用户创建的用户,可以右键删除或禁用。

命令行查看

win+R打开运行窗口,输入cmd打开命令行窗口。 输入net user查看所有用户。 输入net localgroup administrators查看管理员组。

注册表查看

win+R打开运行窗口,输入regedit打开注册表编辑器。 依次展开HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users目录。 admin用户查看需添加权限,检查名称后为admin更改权限,之后应用、确定再刷新文档。 Users目录下的Names目录下包含所有用户的名称。对应的权限在Users目录下的以数字命名的子目录中。例如:000001F4. 在Users目录下有多个子目录,每个子目录对应一个用户。 可以查看每个子目录下的v001和v002文件,其中v001文件包含用户的密码哈希值,v002文件包含用户的其他信息。

注意:请不要随意更改物理机注册表,请尽量在虚拟机中操作,更改前请先备份

windows进程与服务

进程

进程是指正在运行的程序的实例。每个进程都有自己的内存空间、寄存器和执行状态。 进程可以通过任务管理器查看,也可以通过命令行查看。 win+R打开运行窗口,输入taskmgr打开任务管理器。 在任务管理器中可以查看所有正在运行的进程,包括进程名称、进程 ID、占用的 CPU 时间、占用的内存等。 也可以通过命令行查看进程,输入tasklist查看所有进程。

服务

服务是指在后台运行的程序,用于提供系统功能或支持其他程序。 服务可以通过服务管理器查看,也可以通过命令行查看。 win+R打开运行窗口,输入services.msc打开服务管理器。 在服务管理器中可以查看所有正在运行的服务,包括服务名称、服务 ID、状态、启动类型等。 也可以通过命令行查看服务,输入net start查看所有服务。

windows排查手段

Windows 系统日志

每种事件ID对应一种类型的事件:www.cnblogs.com/zhaolongism…

应用程序日志

应用程序日志记录应用程序事件,如应用程序启动、关闭、错误等。 可以通过事件查看器查看应用程序日志。 win+R打开运行窗口,输入eventvwr.msc打开事件查看器。 在事件查看器中可以查看所有应用程序日志,包括事件 ID、事件类型、事件描述等。

安全性日志

安全性日志记录系统安全事件,如登录尝试、失败、权限变更等。 可以通过事件查看器查看安全性日志。 win+R打开运行窗口,输入eventvwr.msc打开事件查看器。 在事件查看器中可以查看所有安全性日志,包括事件 ID、事件类型、事件描述等。

系统日志

系统日志记录系统事件,如系统启动、关闭、错误等。 可以通过事件查看器查看系统日志。 win+R打开运行窗口,输入eventvwr.msc打开事件查看器。 在事件查看器中可以查看所有系统日志,包括事件 ID、事件类型、事件描述等。

Windows powershell日志

Windows powershell日志记录 powershell 事件,如脚本执行、错误等。 可以通过事件查看器查看 Windows powershell 日志。 win+R打开运行窗口,输入eventvwr.msc打开事件查看器。 在事件查看器中可以查看所有 Windows powershell 日志,包括事件 ID、事件类型、事件描述等。

排查后门进程

任务管理器

任务管理器可以查看所有正在运行的进程,包括进程名称、进程 ID、占用的 CPU 时间、占用的内存等。 可以通过任务管理器查看是否有异常进程。

注意:请先在任务管理器结束进程,再关闭。如果任务管理器关闭提示程序正在运营,可在资源监听器中查看进程依赖,然后结束依赖进程。
系统信息查看

win+R打开运行窗口,输入msinfo32打开系统信息。打开软件环境下的正在运行的任务目录也可查看进程详细信息。

命令行查看

win+R打开运行窗口,输入cmd打开命令行窗口。 输入netstat -ano查看所有进程和端口。

木马排查

启动项排查

启动项是指在系统启动时自动运行的程序。 可以通过启动项排查是否有异常启动项。 win+R打开运行窗口,输入msconfig打开系统配置。 在系统配置中可以查看所有启动项,包括启动项名称、启动项路径、启动项类型等。 也可以通过命令行查看启动项,输入sc queryex type= all start= auto查看所有自动启动项。

计划任务排查

计划任务是指在系统指定时间自动运行的程序。 可以通过计划任务排查是否有异常计划任务。 win+R打开运行窗口,输入taskschd.msc打开计划任务。 在计划任务中可以查看所有计划任务,包括计划任务名称、计划任务路径、计划任务时间等。 也可以通过命令行查看计划任务,输入schtasks /query /fo list查看所有计划任务。

服务排查

服务是指在后台运行的程序,用于提供系统功能或支持其他程序。 可以通过服务排查是否有异常服务。 win+R打开运行窗口,输入services.msc打开服务管理器。 在服务管理器中可以查看所有正在运行的服务,包括服务名称、服务 ID、状态、启动类型等。 也可以通过命令行查看服务,输入net start查看所有服务。

windows防火墙

防火墙是指在系统中设置的一种安全机制,用于保护系统免受外部攻击。 可以通过防火墙排查是否有异常防火墙设置。 win+R打开运行窗口,输入wf.msc打开防火墙。 在防火墙中可以查看所有防火墙设置,包括入站规则、出站规则、服务等。 也可以通过命令行查看防火墙设置,输入netsh advfirewall firewall show rule name= all查看所有防火墙规则。

avatar
文章
阅读
粉丝