0
0

如何检查自己电脑是否被攻击了?

数据来源

    本文仅用于信息安全的学习,请遵守相关法律法规,严禁用于非法途径。若观众因此作出任何危害网络安全的行为,后果自负,与本人无关。

通过系统命令排查账户安全

** query user # 查看当前登录账户**

** logoff ID # 注销用户id,用户ID就是账户的回话名,如上图的,跟你自己在开始菜单选择注销一样**

** net user # 查看所有用户**

** net user username # 查看指定用户登录情况,username(用户名) **

** lusrmgr.msc # 打开本地用户组,也可在在计算机管理哪里打开本地用户组**

查看隐藏账号(一般隐藏账号是黑客攻击成功后留下的后门)

** 使用 windows + R 键输入命令 regedit 打开注册表**

** 找到计算机 \HKEYA_LOCAL_MACHINE\SAM\SAM 右键给与用户读写权限**

** 刷新一下打开 HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\ 查看是否存在可疑用户**

利用LogParser查看系统日志(可以分析电脑登录情况之类的,看有没有有异常登录)LogParser官网下载

百度网盘

查看用户登录情况:

LogParser.exe -i:EVT "SELECT TimeGenerated,EXTRACT_TOKEN(Strings,5,'|') AS USERNAME,EXTRACT_TOKEN(Strings,5,'|') AS SERVICE_NAME,EXTRACT_TOKEN(Strings,5,'|') AS Client_IP FROM 'C:\Users\wangzijian\Desktop\安全.evtx' WHERE EventID=4624"

查询登录成功的事件

LogParser.exe -i:EVT -o:DATAGRID "SELECT * FROM 'C:\Users\wangzijian\Desktop\安全.evtx' WHERE EventID=4624"

其他使用方式:应急响应之windows日志分析工具logparser使用_log parser工具_見贤思齊的博客-CSDN博客

示例:

1)导出windows的安全日志

2)在你安装了LogParser的地方打开命令行输入命令,我的安装在C:\Program Files (x86)\Log Parser 2.2

LogParser.exe -i:EVT "SELECT TimeGenerated,EXTRACT_TOKEN(Strings,5,'|') AS USERNAME,EXTRACT_TOKEN(Strings,5,'|') AS SERVICE_NAME,EXTRACT_TOKEN(Strings,5,'|') AS Client_IP FROM 'C:\Users\wangzijian\Desktop\安全.evtx' WHERE EventID=4624"

3)查询登录成功的事件

LogParser.exe -i:EVT -o:DATAGRID "SELECT * FROM 'C:\Users\wangzijian\Desktop\安全.evtx' WHERE EventID=4624"

Webshell排查使用

D盾进行检测

下载地址:http://www.d99net.net

通过web日志判断攻击方式

is7 默认日志存放位置

** C:\inetpub\logs\logFiles\随机目录名**

Weblogic 默认日志存放地址

** C:\Oracle\Middleware\user_projects\domains\base_domain\servers\AdminServer\logs**

系统启动项及定时任务

通过msconfig管理启动项

    windows + R 输入 msconfig

通过注册表查看

** HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run**

** HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce**

** 使用 windows + R 键输入命令 regedit 打开注册表**

Schtasks查看

** chcp 437 # 调用 chcp 命令,将控制台的活动代码页改为 437(United States),不然后面的名称是无法正常显示**

** schtasks | more **** # 查看全部计划任务**

** Schtasks /query /tn****WpsUpdateTask_wangzijian ** **# 查看指定计划任务 **

也可以使用图形界面的方式查看计划任务

任务清单

** C:\Windows\System32\Tasks**

删除任务计划

** SchTasks /Delete /TN 任务计划名称 # 建议刷除任务计划时以管理员登录**

推荐一个图形界面管理的软件autoruns

汉化版

原版 

    autoruns(开机启动项管理工具),通常我们维护windows系统都会通过cmd命令直接打开系统配置程序,一个命令对应一个程序,逐个修改非常麻烦,autoruns这款启动项管理器将所有配置程序集中在了一起,方便你给系统设置配置。

标签: 安全
本文转载自: https://blog.csdn.net/weixin_43263566/article/details/128643921
版权归原作者 正经人_____ 所有, 如有侵权,请联系我们删除。
登录后发布评论

“如何检查自己电脑是否被攻击了?”的评论:

还没有评论
关于作者
...
overfit同步小助手
文章同步
相关阅读

【CTF工具】2024下载拼图工具gaps遇到一些问题(虽然指令蓝色但是不起作用,设置path路径,以及下载安装)

联想S890系统CA证书管理与安全维护

【Docker&虚拟机】在极空间上快速部署智能家居自动化平台『Home Assistant 』

mac输入法 cpu占用,解决mac使用输入法出现卡顿延迟

Git | Ubuntu上安装git的详细步骤

IDEA代码托管Git,连接远程仓库

Hive3:表性能优化-分区与分桶

文章导航