@南馆潇湘
3年前 提问
1个回答
应急响应中系统排查哪些内容
一颗小胡椒
3年前
在进行受害主机排查时,首先要对主机系统进行基本排查,方便对受害主机有一个初步的了解。主要进行如下排查内容:
1. 系统基本信息
Windows系统
- 系统信息工具
- 正在运行任务
- 服务
- 系统驱动程序
- 加载的模块
- 启动程序
Linux系统 - CPU信息
- 操作系统信息
- 模块信息
2. 用户信息
Windows系统
- 命令行方法
- 图形界面方法
- 注册表方法
- wmic方法
Linux系统 - 查看系统所有用户信息
- 分析超级权限账户
- 查看可登录的账户
- 查看用户错误的登录信息
- 查看所有用户最后的登录信息
- 查看用户最近登录信息
- 查看当前用户登录系统情况
- 查看空口令账户
3. 启动项
Windows系统
- 通过【系统配置】对话框查看
- 通过注册表查看
Linux系统 - 使用
cat/etc/init.d/rc.local
命令,可查看init.d
文件夹下的rc.local文件内容。 - 使用
cat/etc/rc.local
命令,可查看rc.local
文件内容。 - 使用
ls-alt/etc/init.d
命令,可查看init.d
文件夹下所有文件的详细信息。
4. 任务计划
Windows系统
- 打开
计算机管理
窗口,选择系统工具
中任务计划程序
中的任务计划程序库
选项,可以查看任务计划的名称、状态、触发器等详细信息,如图2.1.32所示。 - 在PowerShell下输入【Get-ScheduledTask】命令,可查看当前系统中所有任务计划的信息,包括任务计划的路径、名称、状态等详细信息。
- 在命令行中输入
schtasks
命令,可获取任务计划的信息,如图2.1.34所示。该命令是一个功能更为强大的超级命令行计划工具,它含有at
(在较旧的系统中才可以用)命令行工具中的所有功能,获取任务计划时要求必须是本地Administrators组的成员。
Linux系统 - 在命令行中输入
crontab-l
命令,可查看当前的任务计划,也可以指定用户进行查看,如输入命令crontab-u root-l
,可查看root用户的任务计划,以确认是否有后门木马程序启动相关信息。使用命令crontab-l
后,查询到一个挖矿恶意程序的任务计划设置,其会每隔12分钟远程下载恶意网站上的crontab.sh脚本文件。 - 一般在Linux系统中的任务计划文件是以cron开头的,可以利用正则表达式的
*
筛选出etc目录下的所有以cron开头的文件,具体表达式为/etc/cron*
。例如,查看etc
目录下的所有任务计划文件就可以输入ls/etc/cron*
命令