在取得客户授权的前提下,针对暴露的资产排查。
一般从网络连接、进程、账号信息、进程任务、自启动项等进行排查。
在文件资源管理器的菜单中,点击查看下的选项,设置显示隐藏的文件以及扩展名等,以便查看全部的文件。
在命令行中,输入netstat -ano 查看当前的网络的连接状态。
1.查看特殊端口(22、3389等)是否有连接异常。
2.查看当前的主机与外网地址的连接情况,使用IP查询工具(微步、站长之家),定位IP信息。
3.将网络连接中,对应进程的对应文件进行检测(根据pid对应的任务管理器的服务下的文件。检测工具:https://www.virustotal.com/)
对以下目录进行筛查
1.临时目录(/TEMP目录)
2.%APPDATA%目录(回车即可打开C:\Users\Administrator\AppData\Roaming)
3.各种浏览器、默认下载目录和Windows的Recent目录
4.回收站中存在的文件
在运行中打开regedit,查看注册表
1.清除异常多余账号
在注册表中,该 计算机\HKEY_LOCAL_MACHINE\SAM\SAM\Domains 路径下看是否存在异常账号(注意:在查看SAM时,需要授权(完全控制权),在做完相应的工作后,需要移除授权。)
1.点击计算机的管理菜单,进入计算机管理页面,点击本地用户和组,可以查看用户信息
2.命令行下输入net user即可查看存在的用户账户
3.在命令行下输入net localgroup Administrators,即可查看账号异常情况
1.利用类似火绒附带的火绒剑分析工具,查看启动项。有异常的点击提取文件,将文件上传到检测工具检测异常。
2.在本地组策略中(打开方式:运行中输入gpedit.msc)查看自启项是否异常,点击菜单的属性,是否写入了脚本等
点击计算机的管理菜单,进入计算机管理页面,点击事件查看器,即可查看各种日志。包括登陆日志中的暴力破解、账号增删信息、各种访问登陆日志等。