应急响应 | 基本技能 | 01-系统排查

系统排查

目录

  • 系统基本信息
    • Windows系统
    • Linux系统
  • 用户信息
    • Windows系统
      • 1、命令行方式
      • 2、图形界面方法
      • 3、注册表方法
      • 4、wmic方法
    • Linux系统
      • 查看所有用户信息
      • 分析超级权限账户
      • 查看可登录的用户
      • 查看用户错误的登录信息
      • 查看所有用户最后的登录信息
      • 查看用户最近登录信息
      • 查看当前用户登录系统情况
      • 查看空口令账户
  • 启动项
    • Windows系统
      • 通过系统配置查看
      • 通过注册表查看
    • Linux系统
  • 计划任务
    • Windows系统
      • 1)计划任务程序库
      • 2)Get-ScheduledTask
      • 3)schtasks
    • Linux系统
  • 防火墙

系统基本信息

Windows系统

在命令行输入【msinfo32】命令打开“系统信息”窗口

  • Msinfo32.exe:Microsoft系统信息工具,是Microsoft Windows NT诊断工具(Winmsd.exe)的更新版本。
  • 系统信息窗口中主要关注:正在运行任务、服务、启动程序、加载的模块、系统驱动程序…

在这里插入图片描述

如果只是简单了解系统信息,可以使用【systeminfo】命令查看

在这里插入图片描述

Linux系统

lscpu:cpu信息

uname -a:操作系统信息

cat /proc/version:操作系统版本信息

lsmod:已载入系统的模块信息

用户信息

Windows系统

1、命令行方式
net user   // 查看用户账户信息, 注意:看不到以$结尾的隐藏账户 
net user 用户名   // 查看某个用户的详细信息

2、图形界面方法

【计算机】-【管理】-【系统工具】-【本地用户和组】-【用户】

  • 可查看以$结尾的隐藏账户
    在这里插入图片描述

或者直接使用【lusrmgr.msc】打开本地用户和组

在这里插入图片描述

3、注册表方法

使用【regedit】命令打开注册表编辑器

  • 其中的SAM需要添加读取权限(右击SAM-权限-选择当前用户-完全控制-确定-刷新)

在这里插入图片描述

注意将所有00000开头的项中的F值,与000001F4(管理员Administrator)的F值进行比较,如果相同,则存在克隆账户(影子用户)

  • 影子用户只能通过注册表查看
4、wmic方法

wmic扩展WMI(Windows Managerment Instrumentation,Windows管理工具),提供从命令行接口和批命令脚本执行系统管理支持。

wmic useraccount get name,SID   // 查看系统中的用户信息

在这里插入图片描述

Linux系统

查看所有用户信息
  • 最后显示/bin/bash表示可登录,/sbin/nologin表示不可登录
cat  /etc/passwd
分析超级权限账户

查看UID为0的超级用户,如果出现除了root之外其他为0的用户,需要重点排查

awk -F:'{if($3==0)print $1}' /ect/passwd  
查看可登录的用户
cat /etc/passwd | grep '/bin/bash'
查看用户错误的登录信息
  • 查看用户错误的登录列表,包括错误的登录方法、IP地址、时间等
lastb

在这里插入图片描述

查看所有用户最后的登录信息
lastlog

在这里插入图片描述

查看用户最近登录信息
  • 数据源为
  • /var/log/wtmp:存储登录成功的信息
  • /var/log/btmp:存储登录失败的信息
  • /var/log/utmp:存储当前正在登录的信息
last

在这里插入图片描述

查看当前用户登录系统情况
who

在这里插入图片描述

查看空口令账户
awk -F: 'length($2)==0 {print $1}' /ect/shadow

启动项

Windows系统

Windows系统中的自动动文件是按照2个文件夹和5个核心注册表子健来自动加载程序的。

通过系统配置查看
msconfig

在这里插入图片描述

通过注册表查看
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LCOAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

Linux系统

cat /etc/init.d/rc.local
cat /etc/rc.local
ls -alt /etc/init.d

计划任务

Windows系统

1)计划任务程序库

【计算机管理】-【系统工具】-【计划任务程序】-【计划任务程序库】

taskschd.msc

在这里插入图片描述

2)Get-ScheduledTask
Get-ScheduledTask

在这里插入图片描述

3)schtasks
schtasks  // 需要是Administrators组的成员

在这里插入图片描述

Linux系统

crontab -l  // 查看当前用户的计划任务
crontab -u root -l  // 查看指定用户root的计划任务
ls  /etc/cron*   // 查看etc目录下的计划任务文件

通常包含以下文件:

/etc/cron.allow  
/etc/crontab
/etc/cron.d:
0hourly  dailyjobs  mdcheck  timezone.cron

/etc/cron.daily:
logrotate  man-db.cron  packagekit-background.cron  rpm

/etc/cron.hourly:
0anacron

/etc/cron.monthly:
/etc/cron.weekly:

防火墙

有些恶意软件会通过设置防火墙策略进行流量转发等操作,如驱动人生病毒对防火墙的设置。

打开【Windows Defender 防火墙】窗口,单击【高级设置】,然后选择【入站规则】或【出站规则】可查看防火墙的入站和出站规则。

在这里插入图片描述

也可以在命令行中输入【netsh】命令查看

netsh firewall show state  // 查看防火墙的状态

在这里插入图片描述

查看相关的命令帮助

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/713649.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

快速上手SpringBoot

黑马程序员Spring Boot2 文章目录 1、SpringBoot 入门程序开发1.1 创建一个新的项目 2、浅谈入门程序工作原理2.1 parent2.2 starter2.3 引导类2.4 内嵌tomcat 1、SpringBoot 入门程序开发 1.1 创建一个新的项目 file > new > project > empty Project 创建新模块&a…

ubuntu20.04桌面蓝屏问题解决

前些天做仿真项目,遇到了ubuntu蓝屏问题,于是想着找几个参考办法修复,但不管用,疑似是重要组件损坏。 损坏的原因是强制关机,但究竟是强制关了哪一个卡死的进程,不得而知,我有一个关不掉的仿真…

Waf 绕过手法测试

设备类型 由上到下,waf的检测细腻度依次降低 网络层WAF:先拦截流量,进行检测后再转发给 应用层WAF:先经过apache/nginx解析后再交给php处理 云 WAF(CDNWAF):简单的看成CDN加上软件WAF的结合体&#xff0c…

vue格网图

先看效果 再看代码 <n-gridv-elsex-gap"20":y-gap"20"cols"2 s:2 m:3 l:3 xl:3 2xl:4"responsive"screen" ><n-grid-itemv-for"(item,index) in newSongList":key"item.id"class"cursor-pointer …

Spring底层架构核心概念解析

BeanDefinition BeanDefinition表示Bean定义,BeanDefinition中存在很多属性用来描述一个Bean的特点.比如: beanClass:表示Bean类型scope:表示Bean作用域,单例/原型等lazyInit:表示Bean是否懒加载initMethodName:表示Bean初始化时要执行的方法destoryMethodName:表示Bean销毁时…

文章解读与仿真程序复现思路——电工技术学报EI\CSCD\北大核心《计及台风时空特性和灵活性资源协同优化的配电网弹性提升策略》

本专栏栏目提供文章与程序复现思路&#xff0c;具体已有的论文与论文源程序可翻阅本博主免费的专栏栏目《论文与完整程序》 论文与完整源程序_电网论文源程序的博客-CSDN博客https://blog.csdn.net/liang674027206/category_12531414.html 电网论文源程序-CSDN博客电网论文源…

SpringBootWeb 篇-入门了解 Spring Cache 、Spring Task 与 WebSocket 框架

&#x1f525;博客主页&#xff1a; 【小扳_-CSDN博客】 ❤感谢大家点赞&#x1f44d;收藏⭐评论✍ 文章目录 1.0 Spring Cache 概述 1.1 Spring Cache 具体使用 1.1.1 引入依赖 1.1.2 Spring Cache 相关注解的介绍 2.0 Spring Task 概述 2.1 cron 表达式 2.2 Spring Task 使用…

程序猿大战Python——函数——拆包和交换变量值与引用

拆包 目标&#xff1a;了解拆包的使用。 先来看看在现实生活中的拆包。比如&#xff0c;张同学背着背包来教室上课后&#xff0c;需要从背包中拿出电脑、鼠标、数据线、电源线等&#xff0c;这个过程就是拆包! 接着&#xff0c;看一下在Python程序中的拆包&#xff1a;把组合形…

基于单片机和GP2Y1010AU粉尘传感器的空气质量检测仪设计

摘要 随着社会的发展,随着工业的发展,其给人们的生活带来很多便利。然而,工业生产过程中会产生很多对人体有害的因素,比如煤炭开采、水泥生产等行业中的粉尘污染。其在各种危害因素中对人体健康的影响最为严重。粉尘对人体的危害最直接、最严重的是引起尘肺病。当粉尘浓度过…

云原生技术实现Devops自动化运维

云原生技术实现Devops自动化运维 随着云计算和DevOps理念的普及&#xff0c;云原生技术在自动化运维中的应用日益广泛。本文将探讨云原生技术如何通过容器化、微服务架构、CI/CD流水线等手段&#xff0c;提升DevOps自动化运维的效率和灵活性&#xff0c;并通过案例分析具体应用…

Day01_Ajax入门

文章目录 学习目标一、AJAX 概念和 axios 使用1. 目标2. 讲解2.1 什么是 AJAX ?2.2 什么是服务器&#xff1f;2.3 为何学 AJAX ?2.4 怎么学 AJAX ?2.5 例子2.6 axios语法 二、认识 URL1. 目标2. 讲解2.1 为什么要认识 URL ?2.2 什么是 URL &#xff1f;2.3 URL的组成 &…

架构设计 - WEB项目的基础序列化配置

摘要&#xff1a;web项目中做好基础架构(redis&#xff0c;json)的序列化配置有重要意义 支持复杂数据结构&#xff1a;Redis 支持多种不同的数据结构&#xff0c;如字符串、哈希表、列表、集合和有序集合。在将这些数据结构存储到 Redis 中时&#xff0c;需要将其序列化为字节…

IT入门知识博客文章大纲(0/10)

IT入门知识博客文章大纲 引言 什么是IT&#xff1f; 信息技术&#xff08;Information Technology&#xff09;&#xff0c;互联网技术是指在计算机技术的基础上开发建立的一种信息技术 。互联网技术通过计算机网络的广域网使不同的设备相互连接&#xff0c;加快信息的传输速度…

【JavaEE精炼宝库】多线程(6)线程池

目录 一、线程池的概念及优势 1.1 线程池的概念&#xff1a; 1.2 线程池的优势&#xff1a; 二、工厂模式 三、标准库中的线程池 3.1 标准库线程池参数解释&#xff1a; 3.1.1 corePoolSize | maximumPoolSize&#xff1a; 3.1.2 keepAliveTime | unit&#xff1a; 3.1…

Vue50-mixin混入

一、为什么要使用 mixin混入 两个组件共享一个配置。 二、使用 mixin混入 2-1、创建一个混合js文件 2-2、引入混合js文件 1、局部混合 在每个组件中都引入混合js文件 注意&#xff1a; 混合就是复用配置&#xff0c;vm实例中的所有的配置项&#xff0c;都能在混合.js文件中写…

【计算机毕业设计】基于Springboot的毕业生实习与就业管理系统【源码+lw+部署文档】

包含论文源码的压缩包较大&#xff0c;请私信或者加我的绿色小软件获取 免责声明&#xff1a;资料部分来源于合法的互联网渠道收集和整理&#xff0c;部分自己学习积累成果&#xff0c;供大家学习参考与交流。收取的费用仅用于收集和整理资料耗费时间的酬劳。 本人尊重原创作者…

新旧torch中傅里叶变换实现(fft)

由泰勒级数我们知道&#xff0c;一个函数可以被分解成无穷个幂函数叠加的形式&#xff0c;于是同样地&#xff0c;一个周期函数也可以被分解成多个周期函数叠加&#xff0c;于是自然而然地&#xff0c;三角函数符合这个需求&#xff0c;由傅里叶级数我们可以将周期函数分解成无…

Qwen2大语言模型微调、导出、部署实践

上篇文章&#xff1a; Qwen1.5大语言模型微调实践_qwen1.5 7b微调-CSDN博客 我们介绍了Qwen1.5 大语言模型使用LLaMA-Factory 来微调&#xff0c;这篇文章我们介绍一下微调后模型的导出、部署。 一、模型导出 在webui 界面训练好模型之后点击“Export”选项卡&#xff0c;然…

linux 部署瑞数6实战(维普,药监局)第一部分

声明 本文章中所有内容仅供学习交流使用&#xff0c;不用于其他任何目的&#xff0c;抓包内容、敏感网址、数据接口等均已做脱敏处理&#xff0c;严禁用于商业用途和非法用途&#xff0c;否则由此产生的一切后果均与作者无关&#xff01;wx 本文章未经许可禁止转载&…