大致流程

<aside> 💡 Notion Tip: Windows应急笔记.

</aside>

常用命令及软件

• 文件排查
  • Windows系统文件夹
    • %WINDIR%
  • 临时\缓存文件夹
    • %TEMP%
  • 应用数据
    • %APPDATA%
  • 最近使用文件
    • %UserProfile%\\Recent
  • everything 全局查看创建、修改、访问时间
• 进程排查
  • 开机项
    • cmd —> msconfig
  • 网络进程排查
    • netstat -ano
    • netstat -a -p TCP -b
  • 查看任务、进程
    • tasklist
  • 获取进程路径
    • wmic process | findstr "explorer.exe"
• 系统信息排查
  • 查看隐藏账户
    • 控制面板 管理 查看 用户
    • 注册表
      • HLM --> SAM --> SAM --> Domains --> Account --> Users
      • 查看F键值 和 000001F4 的是否相同，相同则是克隆账号
    • 查看 本地用户和组
      • vmic useraccount get name,SID
    • D盾 克隆账号检测
  • 查看Guest用户是否启用
  • 查看系统会话
    • 查看：query user
    • 踢出：logoff
  • systeminfo
    • https://i.hacking8.com/tiquan/ 补丁号提权辅助
• 工具排查
  • PC Hunter
  • ProcessExplorer
  • 火绒剑
  • D盾
• 日志排查
  • 360星图
  • Log Parser
  • Sysmon
  • Network Monitor
  • 逆火网站日志分析器

查看历史记录

• %UserProfile%\\Recent

获取进程全路径

• wmic process | findstr "explorer.exe"

Windows目录

• %WINDIR%

查看隐藏账户

• 注册表
  • HLM --> SAM --> SAM --> Domains --> Account --> Users
  • 查看F键值 和 000001F4 的是否相同，相同则是克隆账号
• 查看 本地用户和组
  • vmic useraccount get name,SID
• D盾 克隆账号检测