编写进度
隐藏账户排查
隐藏账户排查
创建隐藏账户
用户名$ 方式创建的用户,使用net user方式查看不到
参考 隐藏账户创建
D盾可查到
net user test$ passwd /add && net localgroup administrators test$ /add 排查隐藏账户-lusrmgr方式
win+R 输入 lusrmgr.msc 打开 本地用户和组,查看是否存在$结尾的账户
排查隐藏账户-regedit方式
win+R 输入 regedit 打开 注册表编辑器 ,定位到 HKEY_LOCAL_MACHINE/SAM/SAM,右键最后一个 SAM 选择权限 将权限勾选为完全控制,然后确定,关闭注册表编辑器
最后定位到 HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names查看所有账户
端口排查
win+R输入cmd运行netstat -nao查看异常端口连接找到对应PIDwin+R输入taskmgr打开任务管理器 点击详细信息查看对应的PID进程信息,右键进程打开文件所在位置,可查看当前进程对应的程序
启动项及计划任务排查
- 系统启动菜单
C:\Users\frame\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup win+R输入msconfig打开系统配置,查看启动-
win+R输入regedit打开注册表编辑器,查看以下路径是否存在{HKEY_LOCAL_MACHINE|HKEY_CURRENT_USER}\Software\Microsoft\Windows\CurrentVersion\{Run|RunOnce}
转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。可以在下面评论区评论,也可以邮件至 askding@qq.com
