Windows
账号排查
正常用户查看:
text
net user隐藏用户查看: 控制面板, lusrmgr.msc, 用户组可查看( 在用户名后面有一个美元$符号 )
text
net localgroup administrators影子用户查看: 只有注册表中能看到
三种查看方式:
注册表排查
text
win+R , regedit
HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/Names 下的文件夹名就是用户
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\MicrosoftWindows\CurrentVersion\RunonceSAM默认是没有下拉列表的, 右键选择权限, 选择管理员账户, F5刷新
自带的账户:
- Administrator (管理员) : 这是具有完全控制和访问权限的管理员账户, 默认禁用
- DefaultAccount (默认账户) : 这是Win10的一个预配置账户,用于应用程序容器和系统组件的身份验证。它主要用于提供安全性和隔离性
- Guest (访客) : 提供受限制的用户环境,允许临时用户使用计算机但不能进行敏感操作或更改系统设置。默认禁用
- WDAGUtilityAccount : 这是WDAG(防火墙)实用程序账户。WDAG 是一种安全功能,可在Microsoft Edge浏览器中隔离和保护来自不受信任来源的网站和文件
网络信息排查
text
netstat - -ano // 非管理员运行, 主要查看谁连接我
netstat -anob // 管理员权限运行, 可以看到某个进程具体是由哪个程序进行运行进程排查
任务管理器或者火绒剑都可以排查, 如果木马非免杀, 那么装上火绒木马就没咯
最近修改/打开的文件
text
%UserProfile%\Recent // win+R日志排查
text
系统日志
%SystemRoot%\System32\Winevt\Logs\System.evtx
应用程序日志
%SystemRoot%\System32\Winevt\Logs\Application.evtx
安全日志
%SystemRoot%\System32\Winevt\Logs\Security.evtx
win+R或者事件查看器中打开查看系统账号操作:
查看安全日志,右侧选择筛选当前日志
| 事件ID | 说明 |
|---|---|
| 4624 | 登录成功 |
| 4625 | 登录失败 |
| 4634 | 注销成功 |
| 4647 | 用户启动的注销 |
| 4672 | 使用超级用户进行登录 |
| 4720 | 创建用户 |
例: 事件ID: 4625,事件数175904 时, 可能是暴力破解
Liuux
历史命令排查
text
history // 查看历史命令账号权限排查
看看其他帐号是否存在sudo权限
text
more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"有一个%wheel
进程排查
text
ps // 命令列出系统中当前运行进程
top // 显示系统中各个进程的资源占用状况计划任务排查
text
/etc/crontab
/var/spool/cron/*
/etc/cron.d/*
/etc/cron.daily/*
/etc/cron.hourly/*
/etc/cron.monthly/*
/etc/cron.weekly/
/etc/anacrontab
/var/spool/anacron/*
日志排查
text
整体日志: cat /var/log/message
用户登录注销日志/var/log/wtmp: last
登录日志/var/log/lastlog: lastlog
登录失败日志/var/log/btmp: lastb
当前用户/var/log/utmp: w,who,users
定时任务日志: cat /var/log/cron
系统应用登录日志: cat /var/log/secure
软件安装日志: cat /var/log/yum.log