@南馆潇湘
3年前 提问
1个回答

应急响应中系统排查哪些内容

一颗小胡椒
3年前

在进行受害主机排查时,首先要对主机系统进行基本排查,方便对受害主机有一个初步的了解。主要进行如下排查内容:

1. 系统基本信息

Windows系统

  • 系统信息工具
  • 正在运行任务
  • 服务
  • 系统驱动程序
  • 加载的模块
  • 启动程序
    Linux系统
  • CPU信息
  • 操作系统信息
  • 模块信息

2. 用户信息

Windows系统

  • 命令行方法
  • 图形界面方法
  • 注册表方法
  • wmic方法
    Linux系统
  • 查看系统所有用户信息
  • 分析超级权限账户
  • 查看可登录的账户
  • 查看用户错误的登录信息
  • 查看所有用户最后的登录信息
  • 查看用户最近登录信息
  • 查看当前用户登录系统情况
  • 查看空口令账户

3. 启动项

Windows系统

  • 通过【系统配置】对话框查看
  • 通过注册表查看
    Linux系统
  • 使用cat/etc/init.d/rc.local命令,可查看init.d文件夹下的rc.local文件内容。
  • 使用cat/etc/rc.local命令,可查看rc.local文件内容。
  • 使用ls-alt/etc/init.d命令,可查看init.d文件夹下所有文件的详细信息。

4. 任务计划

Windows系统

  • 打开计算机管理窗口,选择系统工具任务计划程序中的任务计划程序库选项,可以查看任务计划的名称、状态、触发器等详细信息,如图2.1.32所示。
  • 在PowerShell下输入【Get-ScheduledTask】命令,可查看当前系统中所有任务计划的信息,包括任务计划的路径、名称、状态等详细信息。
  • 在命令行中输入schtasks命令,可获取任务计划的信息,如图2.1.34所示。该命令是一个功能更为强大的超级命令行计划工具,它含有at(在较旧的系统中才可以用)命令行工具中的所有功能,获取任务计划时要求必须是本地Administrators组的成员。
    Linux系统
  • 在命令行中输入crontab-l命令,可查看当前的任务计划,也可以指定用户进行查看,如输入命令crontab-u root-l,可查看root用户的任务计划,以确认是否有后门木马程序启动相关信息。使用命令crontab-l后,查询到一个挖矿恶意程序的任务计划设置,其会每隔12分钟远程下载恶意网站上的crontab.sh脚本文件。
  • 一般在Linux系统中的任务计划文件是以cron开头的,可以利用正则表达式的*筛选出etc目录下的所有以cron开头的文件,具体表达式为/etc/cron*。例如,查看etc目录下的所有任务计划文件就可以输入ls/etc/cron*命令