系统排查
目录
- 系统基本信息
- Windows系统
- Linux系统
- 用户信息
- Windows系统
- 1、命令行方式
- 2、图形界面方法
- 3、注册表方法
- 4、wmic方法
- Linux系统
- 查看所有用户信息
- 分析超级权限账户
- 查看可登录的用户
- 查看用户错误的登录信息
- 查看所有用户最后的登录信息
- 查看用户最近登录信息
- 查看当前用户登录系统情况
- 查看空口令账户
- Windows系统
- 启动项
- Windows系统
- 通过系统配置查看
- 通过注册表查看
- Linux系统
- Windows系统
- 计划任务
- Windows系统
- 1)计划任务程序库
- 2)Get-ScheduledTask
- 3)schtasks
- Linux系统
- Windows系统
- 防火墙
系统基本信息
Windows系统
在命令行输入【msinfo32】命令打开“系统信息”窗口
- Msinfo32.exe:Microsoft系统信息工具,是Microsoft Windows NT诊断工具(Winmsd.exe)的更新版本。
- 系统信息窗口中主要关注:正在运行任务、服务、启动程序、加载的模块、系统驱动程序…
如果只是简单了解系统信息,可以使用【systeminfo】命令查看
Linux系统
lscpu:cpu信息
uname -a:操作系统信息
cat /proc/version:操作系统版本信息
lsmod:已载入系统的模块信息
用户信息
Windows系统
1、命令行方式
net user // 查看用户账户信息, 注意:看不到以$结尾的隐藏账户
net user 用户名 // 查看某个用户的详细信息
2、图形界面方法
【计算机】-【管理】-【系统工具】-【本地用户和组】-【用户】
- 可查看以$结尾的隐藏账户
或者直接使用【lusrmgr.msc】打开本地用户和组
3、注册表方法
使用【regedit】命令打开注册表编辑器
- 其中的SAM需要添加读取权限(右击SAM-权限-选择当前用户-完全控制-确定-刷新)
注意将所有00000开头的项中的F值,与000001F4
(管理员Administrator)的F值进行比较,如果相同,则存在克隆账户(影子用户)
- 影子用户只能通过注册表查看
4、wmic方法
wmic扩展WMI(Windows Managerment Instrumentation,Windows管理工具),提供从命令行接口和批命令脚本执行系统管理支持。
wmic useraccount get name,SID // 查看系统中的用户信息
Linux系统
查看所有用户信息
- 最后显示
/bin/bash
表示可登录,/sbin/nologin
表示不可登录
cat /etc/passwd
分析超级权限账户
查看UID为0的超级用户,如果出现除了root之外其他为0的用户,需要重点排查
awk -F:'{if($3==0)print $1}' /ect/passwd
查看可登录的用户
cat /etc/passwd | grep '/bin/bash'
查看用户错误的登录信息
- 查看用户错误的登录列表,包括错误的登录方法、IP地址、时间等
lastb
查看所有用户最后的登录信息
lastlog
查看用户最近登录信息
- 数据源为
/var/log/wtmp
:存储登录成功的信息/var/log/btmp
:存储登录失败的信息/var/log/utmp
:存储当前正在登录的信息
last
查看当前用户登录系统情况
who
查看空口令账户
awk -F: 'length($2)==0 {print $1}' /ect/shadow
启动项
Windows系统
Windows系统中的自动动文件是按照2个文件夹和5个核心注册表子健来自动加载程序的。
通过系统配置查看
msconfig
通过注册表查看
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LCOAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
Linux系统
cat /etc/init.d/rc.local
cat /etc/rc.local
ls -alt /etc/init.d
计划任务
Windows系统
1)计划任务程序库
【计算机管理】-【系统工具】-【计划任务程序】-【计划任务程序库】
taskschd.msc
2)Get-ScheduledTask
Get-ScheduledTask
3)schtasks
schtasks // 需要是Administrators组的成员
Linux系统
crontab -l // 查看当前用户的计划任务
crontab -u root -l // 查看指定用户root的计划任务
ls /etc/cron* // 查看etc目录下的计划任务文件
通常包含以下文件:
/etc/cron.allow
/etc/crontab
/etc/cron.d:
0hourly dailyjobs mdcheck timezone.cron
/etc/cron.daily:
logrotate man-db.cron packagekit-background.cron rpm
/etc/cron.hourly:
0anacron
/etc/cron.monthly:
/etc/cron.weekly:
防火墙
有些恶意软件会通过设置防火墙策略进行流量转发等操作,如驱动人生病毒对防火墙的设置。
打开【Windows Defender 防火墙】窗口,单击【高级设置】,然后选择【入站规则】或【出站规则】可查看防火墙的入站和出站规则。
也可以在命令行中输入【netsh】命令查看
netsh firewall show state // 查看防火墙的状态
查看相关的命令帮助