「作者简介」：CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者
「推荐专栏」：对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》

一、用户分析

攻击者通常会在服务器中创建用户进行维权，查看是否有新增的可疑账号，核实后禁用或删除。

1、普通用户

1）cmd中，输入 net user ，查看系统中创建的用户。

2）【控制面板】-【用户账户】-【用户账户】-【管理用户账户】中，可以看到系统中有哪些用户。

3）net user administrator，可以查看指定用户的信息，比如上次登录时间。

2、隐藏用户

隐藏用户（username$）不能在 net user 和控制面板中看到。

1）WIN + R，输入 lusrmgr.msc ，打开本地用户和组，可以看到系统中的所有用户，包括隐藏用户。

2）WIN + R，输入 regedit ，打开注册表，找到HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames

这个路径，可以看到系统中的所有用户，包括隐藏用户。

3、克隆账户

克隆账户通过修改注册表中的F值，使隐藏用户在不加入管理员组的情况下拥有管理员权限。

可以到注册表HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames中，查看是否有隐藏用户（username$），如果有，就看这个用户对应的F值和administrator对应的F值是否相同，如果相同，就是克隆账号。

二、日志分析

日志可以高效的帮助我们分析、溯源攻击事件。

1、Windows系统日志

1）WIN + R，输入 eventvwr，打开事件查看器。

2）右键系统或安全日志 - 【筛选当前日志】，根据事件ID（Event id）筛选日志，快速定位入侵事件。

常用的事件ID有：

• 4624：登录成功
• 4625：登录失败
• 4720：新建用户
• 4724：修改用户密码
• 104：日志被清除
• 1074：开机、关机、重启时间及原因

2、Web日志

从Web应用日志中，可以分析攻击者在什么时间、使用哪个IP，访问了哪个网站，反推出攻击路径。

1）IIS日志通常存放在%systemroot%system32logfilesW3SVC1目录。

2）Apache日志存放在<Apache安装路径>/apache/logs/ 目录，access.log/error.log。

3）Tomcat日志存放在<Tomcat安装路径>/logs 目录

4）WebLogic 8.x版本：WebLogic安装路径user_projectsdomains；
WebLogic 9及以后版本：WebLogic安装路径user_projectsdomains\servers\logs

5）Jboss日志存放在<Jboss安装路径>/server/default/log/

6）Nginx日志默认存放在/usr/local/nginx/logs，access.log/error.log。

三、网络分析

netstat -ano 查看网络连接，LISTENING表示监听状态。

netstat -ano | findstr "443" 查看指定端口的连接状态。

四、进程服务

1）tasklist 命令查看计算机上的进程。

tasklist /v 显示详细信息（所有字段）
tasklist /svc 显示进程和服务的对应关系
tasklist /m 显示加载的DLL文件

2）wmic process命令也可以查看进程，比tasklist更加详细

wmic process get name,processid 过滤字段
wmic process where processid=453 过滤值

3）WIN +R，输入services.msc，打开服务工具，查看自启动的服务。

五、启动项

为了防止被控机器失联，很多恶意程序会把自己添加到系统启动项中，在开机时自动运行。

1）WIN + R，输入msconfig，查看启动项中是否有异常的启动项目，有则禁用。

WIN10移动到任务管理器里面了。

2）WIN + R，输入gpedit.msc，打开本地组策略编辑器，检查是否有异常的启动脚本。

3）WIN + R，输入regedit，打开注册表，重点看下面这三个地方（第一个是用户设置的启动项，后两个是系统设置的启动项）。
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREWOW6432NodeMicrosoftWindowsCurrentVersionRun

4）WIN + R，输入msinfo32，打开系统信息工具，检查是否有异常的启动程序。

5）左下角【开始】-【所有程序】-【启动】，打开是一个目录，检查里面有没有异常启动项。

六、计划任务

很多恶意程序会把自己添加到计划任务中，在固定时间启动。

1）WIN + R，输入taskschd.msc，打开任务计划程序，检查是否有异常的计划任务。

2）打开cmd，输入schtasks，默认展示所有的计划任务（和tasksched同步）。

七、敏感文件目录

Windows系统有很多敏感目录，可以帮助我们寻找攻击路径。

1）WIN + R ，输入 %UserProfile%Recent，打开Recent目录，这里记录了最近打开的文件。

2）WIN + R ，输入 %temp%，打开Windows的临时目录，里面的文件默认拥有当前登录用户的读写权限，常被用来提权，重点检查exe、dll、sys文件，或者特别大的文件。

将可疑文件上传到沙箱或情报中心分析，比如：

• 奇安信威胁情报中心：https://ti.qianxin.com/
• VT文件分析平台：https://www.virustotal.com/gui/home/upload

3）WIN + R ，输入 %systemroot%Prefetch，打开预读取文件夹，这里会缓存访问过的文件，以便下次访问时可以更快的加载。

4）查看浏览器的浏览记录、下载记录、Cookie信息进行协助分析。

5）使用相关工具查杀可疑文件。

服务器通常会安装杀毒软件，全盘扫描即可，如果没装就装一个。

杀毒软件一般不会做驱动对抗，如果怀疑是驱动类型的病毒，需要用专杀工具（奇安信顽固病毒专杀工具、360急救箱等）。

文末送书

评论区留言即可参与抽奖，包邮送书《从零开始读懂Web3》。

立体拆解Web3，历史、技术、应用、趋势全掌握；小白入局Web3，了解工作、学习、创业新范式；Web3重构世界，不止于科技，更是一种思潮。所有这一切，都在重构我们的工作与生活，让我们从零开始，一起走进新一代互联网的世界。