321-应急2

1开机启动

1.启动菜单
c:\Users\Administrator(根据当前计算机登陆⽤户名)\AppData\Roaming\Microsoft\Windows\开始 菜单\程序\启动

2.msconfig

3.注册表regedit：
HKEY_CURRENT_USERS/software/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Runonce

4.运⾏ -> gpedit.msc，计算机配置-Windows设置-脚本-启动-显示属性，查看组策略

2、异常计划任务排查

at(或者输⼊schtasks.exe)

也可以在可视化的计划任务管理中进⾏管理查看

3、隐藏用户

net user test$ test /add && net localgrep administrator test$/add 其中$符，可以导致系统管理员在使⽤net user时⽆法查看到test$⽤户。

1.运⾏ -> 输⼊lusrmgr.msc,查看

2.D盾
3.隐藏账户排查
开始 - 运⾏ -输⼊regedit，HKEY_CURRENT_USER,右键，点击权限，排查是否有异常账户

开始 - 运⾏ -输⼊regedit，HKEY_LOCAL_MACHINE\SAM\SAM,右键，点击权限，administrator打勾"完全控制"

刷新后，注册表内依次展开HKEY_LOCAL_MACHINE\SAM\SAM\Domain\account\Users\Names\可查看到服务器上
所有的⽤户，如发现可以⽤户，和客户确认后，右击删除即可

c:\Users\新建账号会在这个⽬录⽣成⼀个⽤户⽬录，查看是否有新建⽤户⽬录

 

4、补丁

Windows系统⽀持补丁以修复漏洞，可以使⽤systeminfo查看系统信息，并展示对应的系统补丁信息编号，可以在
卸载软件中查看系统补丁和第三⽅补丁
主要核查系统版本以及补丁信息。
如永恒之蓝的系列补丁：
KB4012598
KB4012212
KB4013429
KB4013198
KB4012606
控制⾯板-程序-程序和功能-已经安装更新

5、⽹站后⻔-⼀句话⽊⻢-⽂件排查

存在后⻔站点：https://………………index.php
⽹站web⽬录，进⾏查杀，如有可疑⽂件，可上传⾄世界杀毒⽹与百度webshell检测。
1.D盾
2.百度WebShell检测https://scanner.baidu.com/ (仅⽀持单个⽂件扫描)
3.世界杀毒⽹：https://www.virustotal.com/gui/
4.微步云沙箱：https://x.threatbook.cn/

 课外⼩⼯具：
1.⽂件监控⼯具：适⽤场景监控web⽬录，时刻监测是否有可疑⽂件上传，操作简单。
Directory Monitor(⽂件⽬录监控软件)