qq_37850901的博客

wmic useraccount list full此时会列出所有用户账户的各种信息，但只是显示在屏幕上，如果想保存的话，还需要执行如下命令：wmic useraccount list full >"%userprofile%\Desktop\IThome.txt"命令提示符（无需管理员权限）上述命令后半部分"%userprofile%\Desktop\IThome.txt"可灵活...

普通用户切管理员sudo su -和sudo su root管理员切普通用户exit

ls alt | head n 10

ls -alt /etc/init.d/普通用户下即可运行

ls –alt /tmp/直接敲会这样这样也不对正确方法：先切换到管理员权限sudo su root

导出系统日志，可以把日志导出为文本格式，然后使用notepad++ 打开，使用正则模式去匹配远程登录过的IP地址，在界定事件日期范围的基础((??????:25[0-5]|2[0-4]\d|((1\d{2})|([1-9]?\d))).){3}(?:25[0-5]|2[0-4]\d|((1\d{2})|([1-9]?\d))))((2[0-4]\d|25[0-5]|[01]?\d\d?).){3...

netstat -ano 查看目前的网络连接，定位可疑的ESTABLISHEDnetstat -ano | findstr ESTABLISHED根据netstat 定位出的pid，再通过tasklist命令进行进程定位通过tasklist命令查看可疑程序最后用火绒剑等分析和结束进程。...

recent 在桌面的左下角点击：“开始”–“运行”–“recent”，即可看到。

查看操作系统日志

windows自带的系统配置各种工具

按快捷键“WIN+R”调出运行，输入“dxdiag”，再点击”确定“，然后就可以看到了

在桌面打开：“我的电脑”–“C:\WINDOWS\Prefetch（文件夹）”文件，在该文件夹里面记录着该电脑曾经运行过什么程序，每个文件最前面的（就是文件小数点·前面）文件名即为电脑所运行过的程序名，还有时间。后面的执行代码不用理...

cmd systeminfo | more在运行框中输入cmd进入后直接输入systeminfo就可以看到你这次开电脑到现在共计多长时间存放在Windows目录下的SchedLgU.txt是“计划任务”的“日志”，它忠实的记录了以往计划任务的执行情况，以及用户每次开机启动Windows系统的信息。（有的没有）...

我的电脑图标上点击右键，管理-事件查看器

在计算机管理→系统工具→本地用户和组逐一查询账户信息

针对可疑文件可以使用stat进行创建修改时间、访问时间的详细查看，若修改时间距离事件日期接近，有线性关联，说明可能被篡改或者其他。stat /usr/bin/lsof...