windows系统排查-文件分析

Windows 调查配置文件 :

分析筛选是指Windows的测试文件、程序、系统信息、日志数据等过程。

目标是保护Windows操作系统。

启动文件分析

木马和病毒等恶意程序通常在计算机启动时自行触发。
在 Windows 中,从三个方面可以看到启动启动启动项目:

1. 使用操作系统的启动菜单。

C:Users AdministratorAppDataRoamingMicrosoftWindowsStart MenuProgramsiStartup

如果您在上述地点加肥文件,可以是木马软件。

2. 使用系统配置

3. 重婚登记表的使用情况

HKEY_CURRENT_USERS/software/Microsoft/Windows/CurrentVersion/Run

文件分析 - 临时临时异常文件

• 临时文件夹(临时文件),C:文件和设置管理员 地方设置是你们能找到的地方。这里有几份临时文件。用来收藏夹，我们无法完成这个任务 但我们能完成编辑文件等。
• 要直接打开临时文件夹,请使用运行输入%temp。

• 检查临时文件夹是否包含 PE 文件( exe、 dll、 sys), 或者它是否包含一个非常大的 tmp 文件 。
• 将文件上传至https://ww.unep.com/photos.org/docs/docs/docs/docs/docs/docs/docs/docs/docs/docs/docs/docs/docs/docs/docs/docs/docs/docs/docs/docs/docs/docs/docs/docs/docs/docs/docs/docs

文件分析 - 浏览器数据分析

网站访问很可能是利用黑客接管服务器上的浏览器进行,我们可以检查浏览器记录,检查浏览器是否使用下载恶意软件代码。

• 浏览器浏览痕迹查看

您可以使用特定程序查看浏览器的浏览历史。

• 查看浏览器文件下载日志

您可以使用特定程序查看浏览器的下载历史 。

• 见浏览器 Cookie 信息

要访问浏览器的 Cookie 信息, 您可以使用一个特定工具 。

工具下载 URL: NirLauncher - 下载最新的软件包

文件分析 - 检查文件时间属性

Windows 中文件属性的时间特性是: 创建时间、 修改时间和访问时间( 默认为障碍) 。 计算机使用默认修改的时间显示 。

此文档是否在创建前经过编辑, 是否有很大的不确定性? 更改是使用中国菜刀等工具进行的, 使您能够查看创建时间、 修改时间和文件属性的存取时间 。

文件分析 我刚刚启动了文件分析

文件数据最近已在 Windows 默认记录系统中打开 。

它位于目录C:文档和设置管理员中心。您也可以按 Win+R 键启动运行 。转到%UserProfile%/最近视图。然后利用视窗的筛选条件在特定时间窗口内查看文件。

可用不同的日期类型过滤 。

过程分析 -- -- 发现和结束可疑过程

TCP或UDP协议管辖与外部网络的计算机通信。每个连接都有自己的港口(0-65535)。如果木马在用电脑我相信他们会联系到外部网络因此,通过检查网络连接的状况,找到对应的进程D，然后,为了结束连接状态,关闭进程ID。

• - 网络搜索"ESTABLISED" 查看网络的建立状况

一旦我们进入浏览器中的网页,将再次检查网络连接状态。

• 对于特定的 PID 进程, 请使用列表/ svc 搜索“ PID ” 。

• -taskkill / PID pid 值/ T 进程关闭

使用命令或任务管理器可以停止此操作 。

Windows 任务系统信息

固定行动可以在规定的时间通过安排任务在计算机中进行,恶意方案也可以安排在特定的时间执行。

Schtask 命令用于处理计划的任务。 Schtask 命令用于查看当前计算机上保存的预定任务 。

当然,也可以通过图示规划的特派团管理加以管理。

系统细节 - 隐藏和删除账户

隐藏账户是指黑客入侵期间计算机系统中不易识别的计算机账户,以便长期使用机器。

最为简单的隐藏账户建立: net user test$ test /add && net localgroup administrator test$ /add其中$符号可以导致系统管理员在使用net user时无法查看到test$用户

一旦恶意程序被发现并终止..

在Windows系统运行期间,恶意代码将在一个过程中显示,其中恶意程序实施了一系列恶意行为。

对于可执行程序，使用禁毒软件杀人是可行的。因此,并非每个有害过程都可加以分析。此时可以手动查杀，使用 Exporore 工具 。此外,利用病毒总数。 Com的分析。与渎职程序有关的服务已经停止。

查看和更新系统细节 - 补丁

系统补丁和第三方软件补丁也可以在卸载软件中查看。

在 Windows 10 上,使用快捷键 Windows win+I, 然后选择 Windows 更新。 先前的 Windows 版本还显示 Windows 与 Windows Undate 相关的选择, 这些选择可能会被更改 。

韦贝壳暗杀案

为防止网站和服务器在正常场地运作范围内外渗透,为国际会计系统创建了一个预防性保护方案。越少的功能，它减少了流行的渗透方式, 使服务器更安全! 这篇文章是全球之声在线特别报导的一部分。 I'm sorry, d99net, d99net, d99net, d99net, d99net, d99net, d99net, d99net, d99net, d99net, d99net, d99net, d99net, d99net, d99net, d99net, d99net, d99net, d99net, d99net, d99net, d99net, d99net, d99net, d99net, d99net, d99net, d99net