1、異常的日志記錄
通常我們需要檢查一些可疑的事件記錄, 比如:
12345“Event log service was stopped.”(事件記錄服務已經停止)“Windows File Protection is not active on this system.”(Windows文件保護未開啟)“The protected System file [file name] was not restored to its original, valid version because of the Windows File Protection…”(受保護的系統文件XXX無法還原)“The MS Telnet Service has started successfully.”(Telnet服務開啟成功)
除此之外, 還可以看看有沒有大量失敗的登錄日志或者被鎖定的賬戶.
查看事件日志有兩種方式:
1) 通過圖形界面查看, 開始->運行 eventvwr.msc
2) 通過命令行查看, 主要是使用eventquery.vbs腳本:
1C:> eventquery.vbs | more
或者只看某個條目下的日志:
1C:> eventquery.vbs /L security
eventquery.vbs是使用可以查看命令行幫助或者
2、異常的進程和服務
即在我們熟知的Windows任務管理器中查看是否有奇怪的進程在運行, 重點關注用戶名是SYSTEM(系統)或者Administrator(管理員), 以及在管理員組的用戶.
當然, 你最好能熟悉正常的進程和服務, 不然也不知道某個進程是不是"異常"的. 如果不熟悉也不要緊, 對着任務管理器不認識的進程, 挨個google一遍也就能大概了解了.
查找異常進程
使用Ctrl+Alt+Del快捷鍵或者開始->運行taskmgr.exe打開任務管理器即可看到運行中的進程. 當然也可以使用命令行查看進程:
12C:> tasklistC:> wmic process list full
查找異常服務
1). 圖形界面: 開始->運行 services.msc
2). 命令行:
C:> net start
C:> sc query
查找和每個進程關聯的服務:
1C:> tasklist /svc
3、異常的文件和注冊表
如果磁盤可用空間突然減小, 我們可以查找文件看是否有異常. 通過開始菜單依次點擊:
開始->查找->文件或目錄
然后設置查找選項, 比如文件大小大於10000KB, 或者創建/修改時間在一周以內, 並搜索相關文件.
對於注冊表, 通常是查找自啟動的注冊點, 並檢查對應的應用程序, 常見的啟動點為: 123456HKLM\Software\Microsoft\Windows\CurrentVersion\RunHKLM\Software\Microsoft\Windows\CurrentVersion\RunonceHKLM\Software\Microsoft\Windows\CurrentVersion\RunonceExHKCU\Software\Microsoft\Windows\CurrentVersion\RunHKCU\Software\Microsoft\Windows\CurrentVersion\RunonceHKCU\Software\Microsoft\Windows\CurrentVersion\RunonceEx
注: HKLM和HKCU分別是HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER的縮寫.
查看注冊表有兩種方式:
1) 圖形界面: 開始->運行 regedit.exe
2) 命令行reg query , 例:
1C:> reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run
當然除此之外還有很多注冊點可以進行自啟動, 這個在下面說.
4、異常的計划任務
接下來是查看異常的計划任務, 重點關注那些以管理員組或者SYSTEM權限, 或者是以空白用戶名定時啟動的任務.
查看定時任務
1) 圖形界面, 可以通過開始菜單搜索Task Scheduler打開, 或者:
開始->運行 taskschd.msc /s
2) 命令行輸出計划任務:
1C:> schtasks
查看自啟動程序
1) 圖形界面, 開始->運行 msconfig.exe
2) 命令行:
1C:> wmic startup list full
其他自啟動入口
要注意的是, msconfig這些命令只是列出了部分開機自動啟動的程序, Windows開機自啟動的方式很多, 包括劫持系統程序/動態運行庫等方式,其中涉及到許多注冊表入口, 感興趣的朋友可以查看網上的其他文章.
5、異常的網絡流量
常用的網絡相關自檢命令:
檢查防火牆配置:
C:> netsh firewall show config
查看共享文件, 檢查是否是主動分享的:
C:> net view \127.0.0.1
查看本機活躍的會話:
C:> net session
查看本機對其他系統打開的會話:
C:> net use
查看NetBIOS over TCP/IP 的激活狀態:
C:> nbtstat -S
查看當前網絡連接和監聽情況:
C:> netstat -na
持續輸出上述信息, 每3秒刷新一次:
C:> netstat -na 3
查看網絡連接對應的進程id(-o)和進程名字(-b)
C:> netstat -naob
注: netstat -b 除了顯示進程名字, 還顯示了進程所加載的DLL信息, 所以持續輸出的話會消耗比較多的CPU資源.
對於其他選項, 可以通過netstat -h查看幫助.
6、異常帳號
重點查看新添加進管理員組的帳號.
1) 圖形界面方式:
1開始->運行 lusrmgr.msc -> 點擊用戶組 -> 雙擊管理員
然后查看里面的用戶列表.
2) 命令行方式:
12C:> net userC:> net localgroup administrators