Windows和Linux网络安全应急响应基础技能——如何进行系统排查以及检测恶意用户登录和网络流量日志分析

Windows和Linux网络安全应急响应基础技能——如何进行系统排查以及检测恶意用户登录和网络流量日志分析。

一、Windows

基础排查时可使用Msinfo.exe,可以显示本地的硬件资源、组件和软件环境信息。可以对正在运行的任务、服务、系统驱动程序、加载的模块、启动程序进行排查。

恶意用户排查：

查询用户有四种方法

net user（此命令无法查看$结尾的隐藏用户）


net user [用户名] 查看用户信息

图形界面（此方法可以查看隐藏用户）

命令行输入

lusrmgr.msc

注册表查看，快捷键Win + R 输入以下命令：

regedit

路径为[HKEY_LOCAL_MACHINE]->[SAM]设置权限

查看0000开头项为用户，F4为administrator，如果发现F值是相同的，则说明有克隆用户

wmic

命令行输入

wmic useraccount get name,SID

任务计划排查：