文件查询
msconfig 查看启动项
各个盘符temp目录下
C:\Windows\System32 按照日期查询
%userprofile%\recent 最近访问的文件
指定日期范围的文件
查看文件时间,创建时间、修改时间、访问时间,黑客通过菜刀类工具改变的是修改时间。所以如果修改时间在创建时间之前明显是可疑文件
netstat-ano查看目前的网络连接,定位可疑的ESTABLISHED
netstat -ano | findstr "ESTABLISHED"
LISTENING 侦听状态
ESTABLISHED 建立连接
CLOSE_WAIT 对方主动关闭连接或网络异常导致连接中断
根据netstat定位出的pid,再通过tasklist命令进行进程定位
tasklist | findstr 1712
根据wmic process获取进程的全路径
wmic process | findstr "eth.exe"
系统信息排查
【我的电脑】➜【属性】➜【高级系统设置】➜【高级】➜【环境变量】
排查内容:temp变量的所在位置的内容;后缀映射PATHEXT是否包含有非windows的后缀;有没有增加其他的路径到PATH变量中(对用户变量和系统变量都要进行排查);
Windows计划任务
【程序】➜【附件】➜【系统工具】➜【任务计划程序】
taskschd.msc
Windows帐号信息,如隐藏帐号等
【开始】➜【运行】➜【compmgmt.msc】➜【本地用户和组】➜【用户】(用户名以$结尾的为隐藏用户,如:admin$)
net user
query user
systeminfo
http://blog.neargle.com/win-powerup-exp-index
网友评论