本文講的是windows的第三部分,系統信息排查,系統信息排查我們首先要看的就是查看環境變量的設置,看一下我們的環境變量有沒有被添加到可疑的一些路徑,它是怎么打開的,是在我的電腦屬性,高級系統高級,還有環境變量里面,我現在演示一下我的電腦,然后屬性高級,然后環境變量,然后說然后在這在這里面,像這個就是Java的環境面量,還有他的一些這些看有沒有可疑的路徑和一些可疑的進程在里面。
接著就是windows的計劃任務,看一下有沒有可疑的一些計劃任務,打開也是在控制面板的系統安全,還有任務計劃,這里或者是指定哪的管理,一般我都是在這里電腦,然后管理,然后這里有一個任務計劃,然后就打開這些就是任務計劃,他在什么時候做什么,還有就是windows的賬號信息,查看是不是有可疑的賬號。
例如有一些隱藏賬號是黑客,經常是他自己入侵了之后,他自己會創建一個賬號,還把它隱藏起來,怎么看?命令net user這條命令是查看本機的用戶,像我這里本機的用戶有這么多,這個就是我的4個都是默認的,然后看起來又不是默認的,又不是你的,就是很可疑了,這個看起來陌生,像這樣去排除。
還有一種方法是直接在我的電腦管理這里來查看本地用戶和組,看一下有哪些用戶,看這些用戶,然后這里有一個admin,然后后面加一個$符號的就是隱藏用戶,然后我們是在命令行下面是看不到的,你看沒有的話,像這種隱藏的話,一般都是黑客把它隱藏起來的,然后很明顯了,然后我們怎么刪掉它,第一種方法是把它這里右擊,要刪除,就可以刪除掉了。
再看一下有沒有?已經沒有這個新鮮這個用戶了。刪除是這樣那添加用戶。添加用戶。Net user然后假如我要添加一個新鮮,然后密碼是12345,然后刪除是del,然后添加是add。直接然后我們再看一下,現在這里就有了。還有一個就是可以查看當前系統用戶的會話使用的命令就是這一條,查看當前系統的會話,比如是不是有人使用遠程終端登錄你的服務器,我們就可以用這條會話到底有多少個會話在使用。
現在的用戶只是會話名,會話ID只有一個,就是我現在使用的這個會話,如果有有其他人同時在會話使用會話的話,可能就有兩三個這樣的規劃,時間是12:00,現在12:30 12:00開始的登錄,然后如果是覺得這個會話很可疑,然后我們就把它提出 loof。