电脑不稳定? 可能系统已被病毒渗透:怎样判断是否遭受入侵
数据来源
本文仅用于信息安全的学习,请遵守相关法律法规,严禁用于非法途径。若观众因此作出任何危害网络安全的行为,后果自负,与本人无关。
通过系统命令排查账户安全
query user # 查看当前登录账户
logoff ID # 注销用户id,用户ID就是账户的回话名,如上图的,跟你自己在开始菜单选择注销一样
net user # 查看所有用户
net user username # 查看指定用户登录情况,username(用户名)
lusrmgr.msc # 打开本地用户组,也可在在计算机管理哪里打开本地用户组
查看隐藏账号(一般隐藏账号是黑客攻击成功后留下的后门)
使用 windows + R 键输入命令 regedit 打开注册表
找到计算机 \HKEYA_LOCAL_MACHINE\SAM\SAM 右键给与用户读写权限
刷新一下打开 HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\ 查看是否存在可疑用户
利用LogParser查看系统日志(可以分析电脑登录情况之类的,看有没有有异常登录)LogParser官网下载
百度网盘
查看用户登录情况:
LogParser.exe -i:EVT "SELECT TimeGenerated,EXTRACT_TOKEN(Strings,5,'|') AS USERNAME,EXTRACT_TOKEN(Strings,5,'|') AS SERVICE_NAME,EXTRACT_TOKEN(Strings,5,'|') AS Client_IP FROM 'C:\Users\wangzijian\Desktop\安全.evtx' WHERE EventID=4624"
查询登录成功的事件
LogParser.exe -i:EVT -o:DATAGRID "SELECT * FROM 'C:\Users\wangzijian\Desktop\安全.evtx' WHERE EventID=4624"
其他使用方式:应急响应之windows日志分析工具logparser使用_log parser工具_見贤思齊的博客-CSDN博客
示例:
1)导出windows的安全日志
2)在你安装了LogParser的地方打开命令行输入命令,我的安装在C:\Program Files (x86)\Log Parser 2.2
LogParser.exe -i:EVT "SELECT TimeGenerated,EXTRACT_TOKEN(Strings,5,'|') AS USERNAME,EXTRACT_TOKEN(Strings,5,'|') AS SERVICE_NAME,EXTRACT_TOKEN(Strings,5,'|') AS Client_IP FROM 'C:\Users\wangzijian\Desktop\安全.evtx' WHERE EventID=4624"
3)查询登录成功的事件
LogParser.exe -i:EVT -o:DATAGRID "SELECT * FROM 'C:\Users\wangzijian\Desktop\安全.evtx' WHERE EventID=4624"
Webshell排查使用
D盾进行检测
下载地址:http://www.d99net.net
通过web日志判断攻击方式
is7 默认日志存放位置
C:\inetpub\logs\logFiles\随机目录名\
Weblogic 默认日志存放地址
C:\Oracle\Middleware\user_projects\domains\base_domain\servers\AdminServer\logs\
系统启动项及定时任务
通过msconfig管理启动项
windows + R 输入 msconfig
通过注册表查看
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
使用 windows + R 键输入命令 regedit 打开注册表
Schtasks查看
chcp 437 # 调用 chcp 命令,将控制台的活动代码页改为 437(United States),不然后面的名称是无法正常显示
schtasks | more # 查看全部计划任务
Schtasks /query /tn WpsUpdateTask_wangzijian # 查看指定计划任务
也可以使用图形界面的方式查看计划任务
任务清单
C:\Windows\System32\Tasks
删除任务计划
SchTasks /Delete /TN 任务计划名称 # 建议刷除任务计划时以管理员登录
推荐一个图形界面管理的软件autoruns
汉化版
原版
autoruns(开机启动项管理工具),通常我们维护windows系统都会通过cmd命令直接打开系统配置程序,一个命令对应一个程序,逐个修改非常麻烦,autoruns这款启动项管理器将所有配置程序集中在了一起,方便你给系统设置配置。
电脑不稳定? 可能系统已被病毒渗透:怎样判断是否遭受入侵相关推荐
- 苹果电脑安装Windows系统完整教程,新手快速解决装系统问题
苹果电脑安装Windows系统一直是大家的一个难题,很多人觉得安装苹果电脑系统是深不可测甚至从来都没有想过自己可以独立的装好苹果电脑的系统,今天我们抛开所有的废话,不像网上查询的那么复杂,有时明明很简 ...
- 蓝屏含义原理分析处理方法代码电脑计算机故障系统安全 - 蓝屏知识大全
目录 1含义2原理分析3处理方法4代码含义和解决-5原因分析6预防电脑蓝屏的- 含义 引蓝屏解释 1.故障检查信息 ***STOP 0x0000001E(0xC0000005,0xFDE38AF9 ...
- 用U盘给苹果电脑装Win7系统教程
用U盘给苹果电脑装Win7系统教程 不用光驱,怎么用U盘给苹果电脑安装Win7系统,U盘启动大师带大家来玩转苹果机--让苹果装上一个Win7系统,下面我们就来看看如何给苹果电脑用U盘安装Win7系统. ...
- 鸿蒙hms在哪儿更新,原创 华为鸿蒙系统已开始实施!华为EMUI10.1再更新:HMS将决定战略方向...
原标题:华为鸿蒙系统已开始实施!华为EMUI10.1再更新:HMS将决定战略方向 [4月22日讯]相信大家都知道,自从华为鸿蒙OS系统发布以后,大家也都是非常期待华为鸿蒙OS系统能够早日在华为手机上投 ...
- 计算机系统安装要点,电脑重新装系统要注意哪些要点 重装系统时的六大事项...
电脑系统在整个电脑中起到很重要的作用,一般来说电脑在没有办法使用的时候,人们就会考虑给它重装过一个系统,但是在安装过程中要注意的细节还是比较多的.下面小编就来给大家介绍一下电脑重新装系统要注意哪些要点 ...
- 电脑怎么重装系统Win11?需要什么条件
在win11出来的这段时间里,微软已经修复不少出现过的bug了,部分网友还是不知道什么电脑才可以装win11系统,我们一起来了解一下电脑怎么重装系统win11,需要满足什么样的条件吧. 更多重装系统 ...
- 做完系统回来计算机连接不上网络,电脑重装win7系统后连不上网怎么办_win7重装系统连不上网如何解决...
我们要知道,重装win7系统之后也是会遇到一些小问题,旧版本的的一些设置和程序有时已经满足不了新的系统了,比如我们会经常遇到的win7重装完系统之后连接不上网络的问题,这其中就包括了设置以及驱动的问题 ...
- 计算机文档加密如何解锁,电脑提示文档已被administrator锁定怎么办
原标题:电脑提示文档已被administrator锁定怎么办 相信大家平时在使用Word的时候,都遇到过"文件被administrator锁定"的提示吧,这对于没有加密的朋友来说一 ...
- 新买苹果电脑,mac系统中小白应该了解哪些东西?
本文旨在分享新买了mac电脑,应该做哪些设置,帮助苹果电脑小白轻松上手使用mac电脑,当然,新电脑肯定是需要安装各种软件,这里,小编推荐一下可以看看小编写的mac软件装机必备Mac 装机必备软件推荐, ...
最新文章
- 制药行业的GxP代表什么?
- JS中apply和call的联系和区别
- Institute for Manufacturing virtual check in part 1
- WSL安装xfce4
- gRPC in ASP.NET Core 3.x -- Protocol Buffer, Go语言的例子(下)
- 测试技巧–不编写测试
- django-装饰器实现PV统计
- CVE-2021-1675: Windows Print Spooler远程代码执行漏洞
- jsp访问web-inf下的spring配置文件
- shell脚本中一些日期的定义
- 简述python2.x和python3.x的区别_python面试题Python2.x和Python3.x的区别
- 怎么用odbc连接mysql数据库连接_怎么用odbc连接mysql数据库
- java如何计算时间天数差,Java计算两个时间的天数差与月数差 LocalDateTime,如何计算日期差的天数...
- matlab 最优比例,matlab最优化实验
- python实现熵权法
- LINUX C/C++捕获段错误,打印出错的具体位置(精确到哪一行) ​ --Xilinx ARM版本
- JAVA7新特性1---groovy
- 聚合收款码怎么推广?
- Cisco网站系统测试考试题目及答案
- 行如蜗牛,决定入海 | 访 StarRocks 社区大使流木