在网络安全应急响应中,系统排查是快速识别潜在威胁的关键步骤。以下是针对Windows和Linux系统的系统基本信息排查指南,涵盖常用命令及注意事项:
一、Windows系统排查
1. 系统信息工具(msinfo32.exe)
- 命令执行:
通过界面查看:msinfo32.exe # 打开图形化系统信息窗口- 正在运行的任务:软件环境 → 正在运行的任务。
- 服务:软件环境 → 服务(显示所有服务状态)。
- 系统驱动程序:软件环境 → 系统驱动程序。
- 加载的模块:软件环境 → 加载的模块(DLL文件)。
- 启动程序:软件环境 → 启动程序(注册表启动项)。
2. 命令行替代工具(高效收集信息)
- 系统信息汇总:
systeminfo > system_info.txt # 导出系统配置概览 - 进程与模块:
tasklist /v > processes.txt # 详细进程列表(含加载的DLL) wmic process list full > processes_wmic.txt - 服务与驱动:
sc query type= service state= all > services.txt # 所有服务状态 driverquery /v > drivers.txt # 驱动程序详情 - 启动项检查:
wmic startup get caption,command,location > startup_items.txt reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" # 注册表启动项 reg query "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
二、Linux系统排查
1. CPU信息
lscpu > cpu_info.txt # CPU架构、核心数等
cat /proc/cpuinfo >> cpu_info.txt
2. 操作系统信息
uname -a > os_kernel.txt # 内核版本、主机名等
cat /etc/os-release > os_distro.txt # 发行版详细信息
lsb_release -a >> os_distro.txt
3. 内核模块信息
lsmod > loaded_modules.txt # 已加载的内核模块
cat /proc/modules >> loaded_modules.txt
# 检查可疑模块(如名称异常):
grep -i "可疑关键词" loaded_modules.txt
4. 扩展排查建议
- 进程与网络:
ps aux > processes.txt # 所有运行中的进程 netstat -tulnp > network_connections.txt # 网络连接与监听端口 ss -tulnwp >> network_connections.txt # 替代netstat - 启动项:
systemctl list-unit-files --type=service | grep enabled > enabled_services.txt ls -lah /etc/init.d/ /etc/rc*.d/ # 传统SysV启动脚本
三、注意事项
- 最小化干扰:避免修改系统状态(如结束进程),优先收集只读信息。
- 完整性校验:使用可信工具(如从U盘启动的急救环境)避免依赖被篡改的系统命令。
- 日志保存:将命令输出重定向到文件(如
> output.txt),便于后续分析。 - 权限要求:部分命令需管理员权限(Windows的
管理员CMD,Linux的sudo)。
通过上述步骤,可快速获取系统关键信息,辅助判断是否存在恶意进程、异常驱动或未授权服务,为应急响应提供基础数据支持。
