做培训网站哪家好,织梦网站安装教程,南昌网站搭建建设定制,seo推广公司招商系统排查
目录
系统基本信息 Windows系统Linux系统 用户信息 Windows系统 1、命令行方式2、图形界面方法3、注册表方法4、wmic方法 Linux系统 查看所有用户信息分析超级权限账户查看可登录的用户查看用户错误的登录信息查看所有用户最后的登录信息查看用户最近登录信息查看当…系统排查
目录
系统基本信息 Windows系统Linux系统 用户信息 Windows系统 1、命令行方式2、图形界面方法3、注册表方法4、wmic方法 Linux系统 查看所有用户信息分析超级权限账户查看可登录的用户查看用户错误的登录信息查看所有用户最后的登录信息查看用户最近登录信息查看当前用户登录系统情况查看空口令账户 启动项 Windows系统 通过系统配置查看通过注册表查看 Linux系统 计划任务 Windows系统 1计划任务程序库2Get-ScheduledTask3schtasks Linux系统 防火墙
系统基本信息
Windows系统
在命令行输入【msinfo32】命令打开“系统信息”窗口
Msinfo32.exeMicrosoft系统信息工具是Microsoft Windows NT诊断工具Winmsd.exe的更新版本。系统信息窗口中主要关注正在运行任务、服务、启动程序、加载的模块、系统驱动程序… 如果只是简单了解系统信息可以使用【systeminfo】命令查看 Linux系统
lscpucpu信息
uname -a操作系统信息
cat /proc/version操作系统版本信息
lsmod已载入系统的模块信息
用户信息
Windows系统
1、命令行方式
net user // 查看用户账户信息 注意看不到以$结尾的隐藏账户
net user 用户名 // 查看某个用户的详细信息
2、图形界面方法
【计算机】-【管理】-【系统工具】-【本地用户和组】-【用户】
可查看以$结尾的隐藏账户
或者直接使用【lusrmgr.msc】打开本地用户和组 3、注册表方法
使用【regedit】命令打开注册表编辑器
其中的SAM需要添加读取权限右击SAM-权限-选择当前用户-完全控制-确定-刷新 注意将所有00000开头的项中的F值与000001F4管理员Administrator的F值进行比较如果相同则存在克隆账户影子用户
影子用户只能通过注册表查看
4、wmic方法
wmic扩展WMIWindows Managerment InstrumentationWindows管理工具提供从命令行接口和批命令脚本执行系统管理支持。
wmic useraccount get name,SID // 查看系统中的用户信息Linux系统
查看所有用户信息
最后显示/bin/bash表示可登录/sbin/nologin表示不可登录
cat /etc/passwd分析超级权限账户
查看UID为0的超级用户如果出现除了root之外其他为0的用户需要重点排查
awk -F:{if($30)print $1} /ect/passwd 查看可登录的用户
cat /etc/passwd | grep /bin/bash查看用户错误的登录信息
查看用户错误的登录列表包括错误的登录方法、IP地址、时间等
lastb 查看所有用户最后的登录信息
lastlog查看用户最近登录信息
数据源为/var/log/wtmp存储登录成功的信息/var/log/btmp存储登录失败的信息/var/log/utmp存储当前正在登录的信息
last查看当前用户登录系统情况
who查看空口令账户
awk -F: length($2)0 {print $1} /ect/shadow启动项
Windows系统
Windows系统中的自动动文件是按照2个文件夹和5个核心注册表子健来自动加载程序的。
通过系统配置查看
msconfig通过注册表查看
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LCOAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunonceLinux系统
cat /etc/init.d/rc.local
cat /etc/rc.local
ls -alt /etc/init.d计划任务
Windows系统
1计划任务程序库
【计算机管理】-【系统工具】-【计划任务程序】-【计划任务程序库】
taskschd.msc2Get-ScheduledTask
Get-ScheduledTask3schtasks
schtasks // 需要是Administrators组的成员Linux系统
crontab -l // 查看当前用户的计划任务
crontab -u root -l // 查看指定用户root的计划任务
ls /etc/cron* // 查看etc目录下的计划任务文件通常包含以下文件
/etc/cron.allow
/etc/crontab
/etc/cron.d:
0hourly dailyjobs mdcheck timezone.cron/etc/cron.daily:
logrotate man-db.cron packagekit-background.cron rpm/etc/cron.hourly:
0anacron/etc/cron.monthly:
/etc/cron.weekly:
防火墙
有些恶意软件会通过设置防火墙策略进行流量转发等操作如驱动人生病毒对防火墙的设置。
打开【Windows Defender 防火墙】窗口单击【高级设置】然后选择【入站规则】或【出站规则】可查看防火墙的入站和出站规则。 也可以在命令行中输入【netsh】命令查看
netsh firewall show state // 查看防火墙的状态查看相关的命令帮助
