應急響應中系統排查哪些內容

在進行受害主機排查時，首先要對主機系統進行基本排查，方便對受害主機有一個初步的了解。主要進行如下排查內容：

1. 系統基本信息

Windows系統

• 系統信息工具
• 正在運行任務
• 服務
• 系統驅動程序
• 加載的模塊
• 啟動程序
  Linux系統
• CPU信息
• 操作系統信息
• 模塊信息

2. 用戶信息

Windows系統

• 命令行方法
• 圖形界面方法
• 注冊表方法
• wmic方法
  Linux系統
• 查看系統所有用戶信息
• 分析超級權限賬戶
• 查看可登錄的賬戶
• 查看用戶錯誤的登錄信息
• 查看所有用戶最后的登錄信息
• 查看用戶最近登錄信息
• 查看當前用戶登錄系統情況
• 查看空口令賬戶

3. 啟動項

Windows系統

• 通過【系統配置】對話框查看
• 通過注冊表查看
  Linux系統
• 使用cat/etc/init.d/rc.local命令，可查看init.d文件夾下的rc.local文件內容。
• 使用cat/etc/rc.local命令，可查看rc.local文件內容。
• 使用ls-alt/etc/init.d命令，可查看init.d文件夾下所有文件的詳細信息。

4. 任務計劃

Windows系統

• 打開計算機管理窗口，選擇系統工具中任務計劃程序中的任務計劃程序庫選項，可以查看任務計劃的名稱、狀態、觸發器等詳細信息，如圖2.1.32所示。
• 在PowerShell下輸入【Get-ScheduledTask】命令，可查看當前系統中所有任務計劃的信息，包括任務計劃的路徑、名稱、狀態等詳細信息。
• 在命令行中輸入schtasks命令，可獲取任務計劃的信息，如圖2.1.34所示。該命令是一個功能更為強大的超級命令行計劃工具，它含有at（在較舊的系統中才可以用）命令行工具中的所有功能，獲取任務計劃時要求必須是本地Administrators組的成員。
  Linux系統
• 在命令行中輸入crontab-l命令，可查看當前的任務計劃，也可以指定用戶進行查看，如輸入命令crontab-u root-l，可查看root用戶的任務計劃，以確認是否有后門木馬程序啟動相關信息。使用命令crontab-l后，查詢到一個挖礦惡意程序的任務計劃設置，其會每隔12分鐘遠程下載惡意網站上的crontab.sh腳本文件。
• 一般在Linux系統中的任務計劃文件是以cron開頭的，可以利用正則表達式的*篩選出etc目錄下的所有以cron開頭的文件，具體表達式為/etc/cron*。例如，查看etc目錄下的所有任務計劃文件就可以輸入ls/etc/cron*命令

回答所涉及的環境：聯想天逸510S、Windows 10。