系统排查-基本信息(windows)
win: msinfo32.exe
使用Microsoft 系统信息工具(msinfo32.exe),它是Microsoft Windows NT诊断工具(Winmsd.exe)的更新版本 。
cmd:输入msinfo32命令,打开系统摘要信息窗口。
正在运行的任务:系统摘要->软件环境->正在运行的任务,可以看到正在运行的任务名称、路径、进程ID等信息。
服务:在系统摘要->软件环境->服务选项,查看服务的名称、状态、路径等信息。
系统驱动程序:软件环境->系统驱动程序,可以查看系统驱动程序的名称、描述、文件等信息。
加载的模块:软件环境->加载的模块,查看加载的模块的名称、路径等信息。
启动程序:软件环境 ->启动程序,查看启动程序的命令、用户名、位置等信息。
还可以使用systeminfo命令查看简要信息。
linux: lscpu, uname -a, lsmod
系统排查-用户信息(windows)
windows排查恶意账户
命令行:net user
查看用户,但是隐藏用户依然看不见
图形界面
在计算机管理->本地用户和组->用户中查看,可以查看隐藏账户,名称以$结尾
注册表查看
运行中输入regedit,打开注册表编辑器,在HKEY_LOCAL_MACHINE下的
SAM 选项,可以访问到子项并查看用户信息,查看是否存在隐藏克隆账户
wmic
wmic useraccount get name,sid
linux排查恶意账户
cat /etc/passwd 查看所有用户信息
root : x : 0 : 0 : root : /root : /usr/bin/zsh
用户名 :密码加密:用户id:用户组id:用户主家目录:默认登陆的shell
最后显示bin/bash表示账户状态可登录,如果为sbin/nologin,表示账户状态不可登录
分析超级权限账户
查询可登录账户UID为0的账户,root是UID为0的可登录账户,如果出现其它为0的账户,就要重点排查: awk -F: '{if($3==0)print $1}' /etc/passwd
(以冒号分隔,如果第三个位置等于0,打印第一个位置的内容)
cat/etc/passwd | grep ‘bin/bash’ 查看可登录的账户
lastb 查看用户错误的登录信息
lastlog 查看所有用户最后的登录时间
last 查看用户最近登录信息
数据源为/var/log/wtmp、/var/log/btmp、/var/log/utmp
wtmp存放登录成功的信息,btmp存放登录失败的信息,utmp存放正在登录的信息
who 查看当前用户登录系统情况
系统排查-启动项(windows)
msconfig
注册表以分层的组织形式存储数据元素,数据项是注册表的基本元素,每个数据项下面不但可以存储很多子数据项,还可以以键值的形式存储数据。
HKEY CLASSES_ROOT (HKCR)
此处存放信息可确保windows资源管理器中执行时打开正确的程序,还包含有关拖放规则、快捷方法和用户界面信息的更多详细信息
HKEY_CURRENT_USER(HKCU)
包含当前登录系统的用户的配置信息,有用户的文件夹、屏幕颜色和控制面板的设置
HKEY LOCAL_MACHINE(HKLM)
包含运行操作系统的计算机硬件特定的信息,有系统上安装的驱动器列表以及已安装硬件和应用程序的通用配置
HKEY_USERS(HKU)
包含系统上所有用户配置文件的配置信息,有应用程序配置和可视化设置 HKEY CURRENT CONFIG(HCU):存储有关系统当前配置的信息
系统排查-启动项(Linux)
启动项是恶意病毒实现持久化的常用手段
cat /etc/init.d/rc.local
cat /etc/rc.local
ls -alt /etc/init.d
系统排查-计划任务(windows)
计算机管理->系统工具->任务计划程序->任务计划程序库
查看任务计划名称、状态、触发器等信息
powershell: Get-ScheduledTask
本地Administrators成员:schtasks
系统排查-计划任务(Linux)
crontab -l
crontab -u root -l
查看/etc目录下的任务计划文件:ls /etc/cron*