初识应急响应 (持续更新中) _应急响应

智慧并不产生于学历,而是来自对于知识的终生不懈的追求。这篇文章主要讲述初识应急响应 (持续更新中)相关的知识，希望能为你提供帮助。
Windows篇

?系统信息?
msinfo32查看硬件、组件和软件环境信息等信息
在win＋r或cmd中输入msinfo32

systeminfo查看主机名、系统版本、网卡信息和补丁等信息

用户信息
net user查看用户(看不到隐藏用户)
net user username查看某个用户的详细信息

lusrmgr.msc查看用户和组，可以查看隐藏用户
win＋r或cmd输入lusrmgr.msc
可以自己创建一个隐藏用户用来测试
在此界面右键-新用户，输入用户名，在用户名后加上$即可

通过注册表查看用户
HKEY_LOCAL_MACHINE\\SAM\\SAM\\Domains\\Account\\Users

000001F4代表administrator账户
如果有其他用户F的值与000001F4的F的值一样，说明存在克隆账户

wmic useraccount get name,SID查看用户名和SID值
【初识应急响应 (持续更新中)】

启动项
msconfig查看系统配置
win＋r或cmd输入msconfig
win10开始就msconfig里看不了，需要通过任务管理器来看

通过以下注册表查看

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce

也可以在cmd输入reg query "注册表位置"来查看具体内容

任务计划
taskschd.msc 查看任务计划
win＋r或cmd输入taskschd.msc

schtasks 获取任务计划信息

查看任务计划的路径、名称、状态信息
powershell下输入Get-ScheduledTask

防火墙
netsh firewall show state查看防火墙状态

win＋r或cmd输入firewall.cpl打开防火墙
高级设置中可以查看出入站规则

进程排查
在任务管理器，详细信息栏处，可以看到进程的详细信息
可以右键状态栏选择需要显示的内容
勾选路径名称和命令行，可以帮助我们去判断是否有可疑进程

tasklist命令可以显示进程名称、PID、会话名等信息

tasklist /svc查看进程对应的服务

tasklist /m 查看进程调用的模块信息

tasklist /m ntdll.dll 查看调用ntdll.dll模块的进程信息

tasklist /svc /fi "PID eq 14348"根据pid值查找进程
查看pid为14348的进程

netstat命令可以显示网络连接信息

最右边的一列为网络状态
netstat -ano | findstr "ESTABLISHED" 查看已建立网络连接的信息
-a：显示所有连接和侦听端口
-n：以数字的形式显示地址和端口
-o：显示连接相关的进行id

根据对应的pid值用tasklist命令查找对应的进程

netstat -anb 显示在创建每个连接或侦听端口涉及的可执行程序(管理权限)

使用powershell进行排查
Get-WmiObject Win32_Process | select Name,ProcessId,ParentProcessId,Path
Get-WmiObject Win32_Process：获取进程信息
select Name,ProcessId,ParentProcessId,Path：进程对应的信息

使用wmic命令进行排查
显示进程名称，父进程id，进程id，进程路径，以csv格式显示
wmic process get name,parentprocessid,processid,executablepath /format:csv

服务排查
services.msc 查看服务项
win＋r或cmd输入services.msc

msconfig 查看服务项

2021.12.27（待续）