当前位置: 首页 > news >正文

应急响应 | 基本技能 | 01-系统排查

系统排查

目录

  • 系统基本信息
    • Windows系统
    • Linux系统
  • 用户信息
    • Windows系统
      • 1、命令行方式
      • 2、图形界面方法
      • 3、注册表方法
      • 4、wmic方法
    • Linux系统
      • 查看所有用户信息
      • 分析超级权限账户
      • 查看可登录的用户
      • 查看用户错误的登录信息
      • 查看所有用户最后的登录信息
      • 查看用户最近登录信息
      • 查看当前用户登录系统情况
      • 查看空口令账户
  • 启动项
    • Windows系统
      • 通过系统配置查看
      • 通过注册表查看
    • Linux系统
  • 计划任务
    • Windows系统
      • 1)计划任务程序库
      • 2)Get-ScheduledTask
      • 3)schtasks
    • Linux系统
  • 防火墙

系统基本信息

Windows系统

在命令行输入【msinfo32】命令打开“系统信息”窗口

  • Msinfo32.exe:Microsoft系统信息工具,是Microsoft Windows NT诊断工具(Winmsd.exe)的更新版本。
  • 系统信息窗口中主要关注:正在运行任务、服务、启动程序、加载的模块、系统驱动程序…

在这里插入图片描述

如果只是简单了解系统信息,可以使用【systeminfo】命令查看

在这里插入图片描述

Linux系统

lscpu:cpu信息

uname -a:操作系统信息

cat /proc/version:操作系统版本信息

lsmod:已载入系统的模块信息

用户信息

Windows系统

1、命令行方式
net user   // 查看用户账户信息, 注意:看不到以$结尾的隐藏账户 
net user 用户名   // 查看某个用户的详细信息
2、图形界面方法

【计算机】-【管理】-【系统工具】-【本地用户和组】-【用户】

  • 可查看以$结尾的隐藏账户
    在这里插入图片描述

或者直接使用【lusrmgr.msc】打开本地用户和组

在这里插入图片描述

3、注册表方法

使用【regedit】命令打开注册表编辑器

  • 其中的SAM需要添加读取权限(右击SAM-权限-选择当前用户-完全控制-确定-刷新)

在这里插入图片描述

注意将所有00000开头的项中的F值,与000001F4(管理员Administrator)的F值进行比较,如果相同,则存在克隆账户(影子用户)

  • 影子用户只能通过注册表查看
4、wmic方法

wmic扩展WMI(Windows Managerment Instrumentation,Windows管理工具),提供从命令行接口和批命令脚本执行系统管理支持。

wmic useraccount get name,SID   // 查看系统中的用户信息

在这里插入图片描述

Linux系统

查看所有用户信息
  • 最后显示/bin/bash表示可登录,/sbin/nologin表示不可登录
cat  /etc/passwd
分析超级权限账户

查看UID为0的超级用户,如果出现除了root之外其他为0的用户,需要重点排查

awk -F:'{if($3==0)print $1}' /ect/passwd  
查看可登录的用户
cat /etc/passwd | grep '/bin/bash'
查看用户错误的登录信息
  • 查看用户错误的登录列表,包括错误的登录方法、IP地址、时间等
lastb

在这里插入图片描述

查看所有用户最后的登录信息
lastlog

在这里插入图片描述

查看用户最近登录信息
  • 数据源为
  • /var/log/wtmp:存储登录成功的信息
  • /var/log/btmp:存储登录失败的信息
  • /var/log/utmp:存储当前正在登录的信息
last

在这里插入图片描述

查看当前用户登录系统情况
who

在这里插入图片描述

查看空口令账户
awk -F: 'length($2)==0 {print $1}' /ect/shadow

启动项

Windows系统

Windows系统中的自动动文件是按照2个文件夹和5个核心注册表子健来自动加载程序的。

通过系统配置查看
msconfig

在这里插入图片描述

通过注册表查看
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LCOAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

Linux系统

cat /etc/init.d/rc.local
cat /etc/rc.local
ls -alt /etc/init.d

计划任务

Windows系统

1)计划任务程序库

【计算机管理】-【系统工具】-【计划任务程序】-【计划任务程序库】

taskschd.msc

在这里插入图片描述

2)Get-ScheduledTask
Get-ScheduledTask

在这里插入图片描述

3)schtasks
schtasks  // 需要是Administrators组的成员

在这里插入图片描述

Linux系统

crontab -l  // 查看当前用户的计划任务
crontab -u root -l  // 查看指定用户root的计划任务
ls  /etc/cron*   // 查看etc目录下的计划任务文件

通常包含以下文件:

/etc/cron.allow  
/etc/crontab
/etc/cron.d:
0hourly  dailyjobs  mdcheck  timezone.cron/etc/cron.daily:
logrotate  man-db.cron  packagekit-background.cron  rpm/etc/cron.hourly:
0anacron/etc/cron.monthly:
/etc/cron.weekly:

防火墙

有些恶意软件会通过设置防火墙策略进行流量转发等操作,如驱动人生病毒对防火墙的设置。

打开【Windows Defender 防火墙】窗口,单击【高级设置】,然后选择【入站规则】或【出站规则】可查看防火墙的入站和出站规则。

在这里插入图片描述

也可以在命令行中输入【netsh】命令查看

netsh firewall show state  // 查看防火墙的状态

在这里插入图片描述

查看相关的命令帮助

在这里插入图片描述

相关文章:

应急响应 | 基本技能 | 01-系统排查

系统排查 目录 系统基本信息 Windows系统Linux系统 用户信息 Windows系统 1、命令行方式2、图形界面方法3、注册表方法4、wmic方法 Linux系统 查看所有用户信息分析超级权限账户查看可登录的用户查看用户错误的登录信息查看所有用户最后的登录信息查看用户最近登录信息查看当…...

用c语言实现通讯录

目录 静态简易通讯录 代码: 功能模块展示: 设计思路: 动态简易通讯录(本质顺序表) 代码: 扩容模块展示: 设计思路: 文件版本通讯录 代码: 文件模块展示&#x…...

AI大模型技术揭秘-参数,Token,上下文和温度

深入理解 AI 大模型:参数、Token、上下文窗口、上下文长度和温度 人工智能技术的飞速发展使AI大模型大放异彩,其中涉及的“参数”、“Token”、“上下文窗口”、“上下文长度”及“温度”等专业术语备受瞩目。这些术语背后究竟蕴含何意?它们如何影响AI大模型的性能?一起揭开…...

攻防世界-fakebook题目__详解

1.打开题目先用dirsearch工具扫描一波,扫出来了robots.php目录,然后访问robots.txt 目录,发现了有一个备份文件 ,访问备份文件,下载内容 文件的大致内容如下 里面有一个curl_exec这个函数容易造成ssrf攻击的漏洞 我…...

Ubuntu 18.04下普通用户的一次提权过程

Ubuntu 18.04下普通用户的一次提权过程 一.背景介绍:二.主要调试过程:三.相关命令:1.设置BMC密码,获取BMC IP2.找一台ubuntu搭建TFTP服务,用来替换grub.cfg文件3.从调试服务器的/boot/grub/grub.cfg中提取出recovery mode的配置,简化并生成新的配置文件grub.cfg,放在tftp服务的…...

接口和抽象类:如何使用普通类模拟接口和抽象类

目录 1.引言 2.抽象类和接口的定义与区别 3.抽象类和接口存在的意义 4.模拟实现抽象类和接口 5.抽象类和接口的应用场景 1.引言 在面向对象编程中,抽象类和接口是两个经常被提及的语法概念,也是面向对象编程的四大特性,以及很多设计模式…...

【文档智能】实践:基于Yolo三行代码极简的训练一个版式分析模型

一、数据集 本文以开源的CDLA数据集做为实验,CDLA是一个中文文档版面分析数据集,面向中文文献类(论文)场景。包含以下10个label: 数据集下载地址:https://github.com/buptlihang/CDLA 数据集是labelme格式…...

聚观早报 | 深蓝G318价格发布;比亚迪方程豹豹3官图发布

聚观早报每日整理最值得关注的行业重点事件,帮助大家及时了解最新行业动态,每日读报,就读聚观365资讯简报。 整理丨Cutie 6月15日消息 深蓝G318价格发布 比亚迪方程豹豹3官图发布 夸克App升级高考AI搜索 iOS 18卫星通信实测 Redmi K70…...

如何实现内网穿透?快解析-免费内网穿透工具

在现如今的ipv4时代,随着上网电脑及其他智能设备越来越多,公网IP地址出现了枯竭的情况。近几年,内网穿透这个词被不断提及,这也是在无公网IP环境下实现异地访问的一种可行办法,下面我就给大家介绍一下内网穿透的原理。…...

【python-AI篇】人工智能技能树思维导图

大致总结一下得出如下思维导图,如不完善日后迭代更新 1. python基础三方库 1.1 科学计算库 ---- numpy库 1.2 科学计算库 ---- Scipy库 1.3 数据分析处理库 ---- pandas库 1.4 可视化库 ---- matplotlib库 1.5 可视化库 ---- seaborn库 1.6 机器学习和数据挖掘库 …...

Vue的computed大致细节

computed computed具体实现流程computer的执行顺序 computed 具体实现流程 computer内部首先是标准化参数然后调用runner函数进行依赖收集设置dirty为true创建副作用函数,具体如下 const runner effect(getter,{//延迟执行lazy:true,//标记为computed effect 用…...

第5章:模型预测控制(MPC)的代码实现

1. 建立 QP 模型: 1.1 车辆模型: 注:使用车辆横向动力学模型 纵向动力学模型(误差模型) 1.2 QP 问题模型: 注:详细推导见 笔记100:使用 OSQP-Eigen 对 MPC 进行求解的方法与代码-…...

论文学习day01

1.自我反思的检索增强生成(SELF-RAG) 1.文章出处: Chan, C., Xu, C., Yuan, R., Luo, H., Xue, W., Guo, Y., & Fu, J. (2024). RQ-RAG: Learning to Refine Queries for Retrieval Augmented Generation. ArXiv, abs/2404.00610. 2.摘…...

Github入门教程,适合新手学习(非常详细)

前言:本篇博客为手把手教学的 Github 代码管理教程,属于新手入门级别的难度。教程简单易操作,能够基本满足读者朋友日常项目寄托于 Github 平台上进行代码管理的需求。Git 与 Github 是一名合格程序员 coder 必定会接触到的工具与平台&#x…...

C# OpenCvSharp 代数运算-add、scaleAdd、addWeighted、subtract、absdiff、multiply、divide

在C#中使用OpenCvSharp进行图像处理时,理解和合理使用各种图像操作函数可以帮助我们实现许多实际应用中的需求。下面,我将详细介绍每个函数的使用,并给出与实际应用项目相关的示例,包括运算过程和运算结果。 1. add 函数 作用 将两幅图像进行相加,可以达到图像融合的目的…...

为什么说Python 是胶水语言?

​ "Python 是胶水语言"这一说法是指它很擅长将不同的程序或代码库连接在一起,能够让来自不同编程语言或框架的组件无缝协作。Python 具有丰富的库和简单的语法,使得它可以轻松调用其他语言编写的程序或使用不同技术栈的模块。 ​ 以下是几个…...

GitLab教程(二):快速上手Git

文章目录 1.将远端代码克隆到本地2.修改本地代码并提交到远程仓库3.Git命令总结git clonegit statusgit addgit commitgit pushgit log 首先,我在Gitlab上创建了一个远程仓库,用于演示使用Gitlab进行版本管理的完整流程: 1.将远端代码克隆到本…...

结构体知识点

基本概念 结构体是一种自定义变量类型,类似于枚举需要自己定义。 它是数据和函数的集合。 在结构体中,可以声明各种变量和方法。 基本语法 1.结构体一般写在namespace语句块中。 2.结构体关键字struct struct 自定义结构体名 {//第一部分//变量//…...

C# —— 显示转换

显示转换: 通过一些方法可以将其他数据类型转换为我们想要的数据类型 1.括号强转 作用: 一般情况下 将高精度的类型转换为低精度 // 语法: 变量类型 变量名 (转换的变量类型名称) 变量; // 注意: 精度问题 范围问题 sbyte sb 1; short s 1; int …...

zip加密txt文件后,暴力破解时会有多个解密密码可以打开的疑问??

最近在做一个关于zip压缩文件解密的测试,发现通过暴力解密时,会有多个解密密码可以打开,非常疑惑,这里做个问题,希望能有大佬解惑。 1、首先在本地创建一个113449.txt的文件,然后右键txt文件选择压缩&…...

AI-调查研究-01-正念冥想有用吗?对健康的影响及科学指南

点一下关注吧!!!非常感谢!!持续更新!!! 🚀 AI篇持续更新中!(长期更新) 目前2025年06月05日更新到: AI炼丹日志-28 - Aud…...

web vue 项目 Docker化部署

Web 项目 Docker 化部署详细教程 目录 Web 项目 Docker 化部署概述Dockerfile 详解 构建阶段生产阶段 构建和运行 Docker 镜像 1. Web 项目 Docker 化部署概述 Docker 化部署的主要步骤分为以下几个阶段: 构建阶段(Build Stage)&#xff1a…...

【力扣数据库知识手册笔记】索引

索引 索引的优缺点 优点1. 通过创建唯一性索引,可以保证数据库表中每一行数据的唯一性。2. 可以加快数据的检索速度(创建索引的主要原因)。3. 可以加速表和表之间的连接,实现数据的参考完整性。4. 可以在查询过程中,…...

大型活动交通拥堵治理的视觉算法应用

大型活动下智慧交通的视觉分析应用 一、背景与挑战 大型活动(如演唱会、马拉松赛事、高考中考等)期间,城市交通面临瞬时人流车流激增、传统摄像头模糊、交通拥堵识别滞后等问题。以演唱会为例,暖城商圈曾因观众集中离场导致周边…...

linux 错误码总结

1,错误码的概念与作用 在Linux系统中,错误码是系统调用或库函数在执行失败时返回的特定数值,用于指示具体的错误类型。这些错误码通过全局变量errno来存储和传递,errno由操作系统维护,保存最近一次发生的错误信息。值得注意的是,errno的值在每次系统调用或函数调用失败时…...

Java多线程实现之Thread类深度解析

Java多线程实现之Thread类深度解析 一、多线程基础概念1.1 什么是线程1.2 多线程的优势1.3 Java多线程模型 二、Thread类的基本结构与构造函数2.1 Thread类的继承关系2.2 构造函数 三、创建和启动线程3.1 继承Thread类创建线程3.2 实现Runnable接口创建线程 四、Thread类的核心…...

python执行测试用例,allure报乱码且未成功生成报告

allure执行测试用例时显示乱码:‘allure’ �����ڲ����ⲿ���Ҳ���ǿ�&am…...

Linux C语言网络编程详细入门教程:如何一步步实现TCP服务端与客户端通信

文章目录 Linux C语言网络编程详细入门教程:如何一步步实现TCP服务端与客户端通信前言一、网络通信基础概念二、服务端与客户端的完整流程图解三、每一步的详细讲解和代码示例1. 创建Socket(服务端和客户端都要)2. 绑定本地地址和端口&#x…...

LINUX 69 FTP 客服管理系统 man 5 /etc/vsftpd/vsftpd.conf

FTP 客服管理系统 实现kefu123登录,不允许匿名访问,kefu只能访问/data/kefu目录,不能查看其他目录 创建账号密码 useradd kefu echo 123|passwd -stdin kefu [rootcode caozx26420]# echo 123|passwd --stdin kefu 更改用户 kefu 的密码…...

五、jmeter脚本参数化

目录 1、脚本参数化 1.1 用户定义的变量 1.1.1 添加及引用方式 1.1.2 测试得出用户定义变量的特点 1.2 用户参数 1.2.1 概念 1.2.2 位置不同效果不同 1.2.3、用户参数的勾选框 - 每次迭代更新一次 总结用户定义的变量、用户参数 1.3 csv数据文件参数化 1、脚本参数化 …...