数据来源 

        本文仅用于信息安全的学习，请遵守相关法律法规，严禁用于非法途径。若观众因此作出任何危害网络安全的行为，后果自负，与本人无关。 

通过系统命令排查账户安全

        query user                       # 查看当前登录账户

        logoff ID                           # 注销用户id，用户ID就是账户的回话名，如上图的，跟你自己在开始菜单选择注销一样

        net user                             #  查看所有用户

        net user username           # 查看指定用户登录情况，username（用户名）   

        lusrmgr.msc                      # 打开本地用户组，也可在在计算机管理哪里打开本地用户组

查看隐藏账号（一般隐藏账号是黑客攻击成功后留下的后门）

        使用 windows + R 键输入命令 regedit 打开注册表

        找到计算机 \HKEYA_LOCAL_MACHINE\SAM\SAM 右键给与用户读写权限

        刷新一下打开  HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\ 查看是否存在可疑用户

利用LogParser查看系统日志（可以分析电脑登录情况之类的，看有没有有异常登录）LogParser官网下载

百度网盘

查看用户登录情况：

LogParser.exe -i:EVT "SELECT TimeGenerated,EXTRACT_TOKEN(Strings,5,'|') AS USERNAME,EXTRACT_TOKEN(Strings,5,'|') AS SERVICE_NAME,EXTRACT_TOKEN(Strings,5,'|') AS Client_IP FROM 'C:\Users\wangzijian\Desktop\安全.evtx' WHERE EventID=4624"

查询登录成功的事件

LogParser.exe -i:EVT -o:DATAGRID "SELECT * FROM 'C:\Users\wangzijian\Desktop\安全.evtx' WHERE EventID=4624"

其他使用方式：应急响应之windows日志分析工具logparser使用_log parser工具_見贤思齊的博客-CSDN博客 

示例：

1）导出windows的安全日志

 2）在你安装了LogParser的地方打开命令行输入命令，我的安装在C:\Program Files (x86)\Log Parser 2.2

LogParser.exe -i:EVT "SELECT TimeGenerated,EXTRACT_TOKEN(Strings,5,'|') AS USERNAME,EXTRACT_TOKEN(Strings,5,'|') AS SERVICE_NAME,EXTRACT_TOKEN(Strings,5,'|') AS Client_IP FROM 'C:\Users\wangzijian\Desktop\安全.evtx' WHERE EventID=4624"

3）查询登录成功的事件

LogParser.exe -i:EVT -o:DATAGRID "SELECT * FROM 'C:\Users\wangzijian\Desktop\安全.evtx' WHERE EventID=4624"

Webshell排查使用

D盾进行检测

下载地址：http://www.d99net.net

通过web日志判断攻击方式

is7 默认日志存放位置

        C:\inetpub\logs\logFiles\随机目录名\

Weblogic 默认日志存放地址

        C:\Oracle\Middleware\user_projects\domains\base_domain\servers\AdminServer\logs\

系统启动项及定时任务

通过msconfig管理启动项

        windows + R 输入 msconfig

通过注册表查看

        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

 使用 windows + R 键输入命令 regedit 打开注册表 

Schtasks查看

        chcp 437                                 # 调用 chcp 命令，将控制台的活动代码页改为 437（United States），不然后面的名称是无法正常显示

        schtasks | more                      # 查看全部计划任务

        Schtasks /query /tn WpsUpdateTask_wangzijian   #  查看指定计划任务 

也可以使用图形界面的方式查看计划任务

 任务清单

        C:\Windows\System32\Tasks

删除任务计划

        SchTasks /Delete /TN   任务计划名称  # 建议刷除任务计划时以管理员登录

推荐一个图形界面管理的软件autoruns

汉化版

原版 

        autoruns(开机启动项管理工具)，通常我们维护windows系统都会通过cmd命令直接打开系统配置程序，一个命令对应一个程序，逐个修改非常麻烦，autoruns这款启动项管理器将所有配置程序集中在了一起，方便你给系统设置配置。