一、文件排查

1）開(kāi)機(jī)啟動(dòng)有無(wú)異常文件

【文件】→【運(yùn)行】→【msconfig】

2）各個(gè)盤(pán)下的temp（tmp）相關(guān)目錄下查看有無(wú)異常文件：windows產(chǎn)生的臨時(shí)文件：

3）Recnt是系統(tǒng)文件夾，里面存放著你最近使用的文檔的快捷方式，查看用戶(hù)recent相關(guān)文件，通過(guò)分析最近打開(kāi)分析可疑文件：

【開(kāi)始】→【運(yùn)行】→【%UserProfile%、Recent】

4）根據(jù)文件夾內(nèi)文件列表時(shí)間進(jìn)行排序，查找可疑文件。當(dāng)然也可以搜索指定日期范圍的文件及文件：

Windows Server 2008 R2

Windows 10

5）查看文件時(shí)間，創(chuàng)建時(shí)間、修改時(shí)間、訪問(wèn)時(shí)間，黑客通過(guò)菜刀類(lèi)工具改變的是修改時(shí)間。所以如果修改時(shí)間在創(chuàng)建時(shí)間之前明顯是可疑文件

二、端口、進(jìn)程排查

1）netstat -ano //查看目前的網(wǎng)絡(luò)連接，定位可疑的ESTABLISHED

netstat //顯示網(wǎng)絡(luò)連接、路由表和網(wǎng)絡(luò)接口信息；

參數(shù)說(shuō)明：

常見(jiàn)的狀態(tài)說(shuō)明：

LISTENING //傾聽(tīng)狀態(tài)

ESTABLISHED //建立連接

CLOSE_WAIT //對(duì)方主動(dòng)關(guān)閉連接或網(wǎng)絡(luò)異常異常連接中斷

2）根據(jù)netstat定位出的pid，再通過(guò)tasklist命令進(jìn)行進(jìn)程定位

tasklist //顯示運(yùn)行在本地或遠(yuǎn)程計(jì)算機(jī)上的所有進(jìn)程；

3）根據(jù)wmic process獲取進(jìn)程的全路徑（注：任務(wù)管理器也可以定位到進(jìn)程路徑）

小技巧：

①查看端口對(duì)應(yīng)的PID： netstat -ano | findstr "port"

②查看進(jìn)程對(duì)應(yīng)的PID：任務(wù)管理器--查看--選擇列--PID 或者 tasklist | findstr "PID"

③查看進(jìn)程對(duì)應(yīng)的程序位置：

任務(wù)管理器--選擇對(duì)應(yīng)進(jìn)程--右鍵打開(kāi)文件位置

運(yùn)行輸入 wmic，cmd界面輸入 process d、tasklist /svc 進(jìn)程--PID--服務(wù)

④查看Windows服務(wù)所對(duì)應(yīng)的端口：

%system%/system32/drivers/etc/services（一般%system%就是C:Windows）

三、系統(tǒng)信息排查

1）查看環(huán)境變量的設(shè)置

【我的電腦】→【屬性】→【高級(jí)系統(tǒng)設(shè)置】→【高級(jí)】→【環(huán)境變量】

排查內(nèi)容：temp變量的所在位置的內(nèi)容；后綴映射PATHEXT是否包含有非windows的后綴；有沒(méi)有增加其他的路徑到PATH變量中(對(duì)用戶(hù)變量和系統(tǒng)變量都要進(jìn)行排查)。

2）Windows計(jì)劃任務(wù)

【程序】→【附件】→【系統(tǒng)工具】→【任務(wù)計(jì)劃程序】

3）Windows賬戶(hù)信息，如隱藏賬號(hào)、克隆賬號(hào)等

【開(kāi)始】→【運(yùn)行】→【compmgmt.msc】→【本地用戶(hù)和組】→【用戶(hù)】（用戶(hù)以$結(jié)尾的為隱藏用戶(hù)，如：admin$）

a）打開(kāi)注冊(cè)表，查看管理員對(duì)應(yīng)鍵值。

b）使用D盾_web查殺工具，集成了對(duì)克隆賬號(hào)檢測(cè)的功能。

命令行方式：net user，可直接收集用戶(hù)信息（此方法看不到隱藏用戶(hù)），若需查看某個(gè)用戶(hù)的詳細(xì)信息，可使用命令net user username：

4）查看服務(wù)器是否存在可疑賬號(hào)、新增賬號(hào)

打開(kāi) cmd 窗口，輸入lusrmgr.msc命令，查看是否有新增/可疑的賬號(hào)，如有管理員群組的（Administrators）里的新增賬戶(hù)，如有，請(qǐng)立即禁用或刪除掉。

5）查看當(dāng)前系統(tǒng)用戶(hù)的會(huì)話

使用query user查看當(dāng)前系統(tǒng)的會(huì)話，比如查看是否有人使用遠(yuǎn)程終端登錄服務(wù)器：

logoff //踢出該用戶(hù)

6）查看systeminfo信息，系統(tǒng)版本以及補(bǔ)丁信息

例如系統(tǒng)的遠(yuǎn)程命令執(zhí)行漏洞 MS17-010（永恒之藍(lán)）、MS08-067、MS09-001等。若進(jìn)行漏洞比對(duì)，建議自建使用 Windows-Privilege-Escalation-Exploit：

Github 源碼：https://github.com/neargle/win-powerup-exp-index

7）結(jié)合日志，查看管理員登錄時(shí)間、用戶(hù)名是否存在異常

a）Win+R打開(kāi)運(yùn)行，輸入"eventvwr.msc"，回車(chē)運(yùn)行，打開(kāi)"事件查看器"。

b）導(dǎo)出Windows日志--安全，利用Log Parser進(jìn)行分析。

四、工具排查

1）PC Hunter

PC Hunter是一個(gè)Windows系統(tǒng)信息查看軟件

下載地址：

功能列表如下：

PC Hunter 數(shù)字簽名顏色說(shuō)明：

黑色：微軟簽名的驅(qū)動(dòng)程序；

藍(lán)色：非微軟簽名的驅(qū)動(dòng)程序；

紅色：驅(qū)動(dòng)檢測(cè)到的可疑對(duì)象，隱藏服務(wù)、進(jìn)程、被掛鉤函數(shù)；

注：最簡(jiǎn)單的使用方法，根據(jù)顏色去辨識(shí)?可疑進(jìn)程，隱藏服務(wù)、被掛鉤函數(shù)：紅色，然后根據(jù)程序右鍵功能去定位具體的程序和移除功能。根據(jù)可疑的進(jìn)程名等進(jìn)行互聯(lián)網(wǎng)信息檢索然后統(tǒng)一清除并關(guān)聯(lián)注冊(cè)表。

2）ProcessExplorer

Windows系統(tǒng)和應(yīng)用程序監(jiān)視工具：