Windows入侵排查

1.1检查系统账号安全
1.检查服务器是否存在可以账号、新增账号:
打开cmd,输入lusrmgr.msc

如果有立即禁用或删除掉
2.检查服务器是否存在隐藏账号、克隆账号:
检查方法: a、打开注册表 ,查看管理员对应键值。 b、使用D盾_web查杀工具,集成了对克隆账号检测的功能。

3. 结合日志,查看管理员登录时间、用户名是否存在异常:
win+r输入eventvwr.msc,回车打开事件查看器

 1.2检查异常端口、进程
1.检查端口连接情况,是否有远程连接、可疑连接。
打开cmd输入命令:netstat -ano

再通过tasklist命令进程定位tasklist | findstr "PID'

2.进程
win+r输入msinfo32打开系统信息,查看进程详细信息,比如:进程路径、进程ID、文件创建日期、启动时间等。

 3.小技巧:
a、查看端口对应的PID: netstat -ano | findstr “port”
b、查看进程对应的PID:任务管理器--查看--选择列--P

Windows入侵排查最先出现在Python成神之路

版权声明:
作者:lichengxin
链接:https://www.techfm.club/p/9791.html
来源:TechFM
文章版权归作者所有,未经允许请勿转载。

THE END
分享
二维码
< <上一篇
下一篇>>