本文讲的是windows的第三部分,系统信息排查,系统信息排查我们首先要看的就是查看环境变量的设置,看一下我们的环境变量有没有被添加到可疑的一些路径,它是怎么打开的,是在我的电脑属性,高级系统高级,还有环境变量里面,我现在演示一下我的电脑,然后属性高级,然后环境变量,然后说然后在这在这里面,像这个就是Java的环境面量,还有他的一些这些看有没有可疑的路径和一些可疑的进程在里面。
接着就是windows的计划任务,看一下有没有可疑的一些计划任务,打开也是在控制面板的系统安全,还有任务计划,这里或者是指定哪的管理,一般我都是在这里电脑,然后管理,然后这里有一个任务计划,然后就打开这些就是任务计划,他在什么时候做什么,还有就是windows的账号信息,查看是不是有可疑的账号。
例如有一些隐藏账号是黑客,经常是他自己入侵了之后,他自己会创建一个账号,还把它隐藏起来,怎么看?命令net user这条命令是查看本机的用户,像我这里本机的用户有这么多,这个就是我的4个都是默认的,然后看起来又不是默认的,又不是你的,就是很可疑了,这个看起来陌生,像这样去排除。
还有一种方法是直接在我的电脑管理这里来查看本地用户和组,看一下有哪些用户,看这些用户,然后这里有一个admin,然后后面加一个$符号的就是隐藏用户,然后我们是在命令行下面是看不到的,你看没有的话,像这种隐藏的话,一般都是黑客把它隐藏起来的,然后很明显了,然后我们怎么删掉它,第一种方法是把它这里右击,要删除,就可以删除掉了。
再看一下有没有?已经没有这个新鲜这个用户了。删除是这样那添加用户。添加用户。Net user然后假如我要添加一个新鲜,然后密码是12345,然后删除是del,然后添加是add。直接然后我们再看一下,现在这里就有了。还有一个就是可以查看当前系统用户的会话使用的命令就是这一条,查看当前系统的会话,比如是不是有人使用远程终端登录你的服务器,我们就可以用这条会话到底有多少个会话在使用。
现在的用户只是会话名,会话ID只有一个,就是我现在使用的这个会话,如果有有其他人同时在会话使用会话的话,可能就有两三个这样的规划,时间是12:00,现在12:30 12:00开始的登录,然后如果是觉得这个会话很可疑,然后我们就把它提出 loof。