「作者简介」:CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者
「推荐专栏」:对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》
Windows应急响应
- 一、启动项分析
- 1、msconfig
- 2、gpedit.msc
- 3、注册表
- 4、msinfo32
- 5、启动菜单
- 二、计划任务分析
- 1、任务计划程序
- 2、schtasks
- 三、服务自启动分析
一、启动项分析
很多恶意程序会把自己添加到系统启动项中,在开机时自动运行。
1、msconfig
msconfig是Windows自带的系统配置实用程序,用来管理系统启动项、系统服务等。
WIN + R,输入msconfig
,查看启动项中是否有异常的启动项目,有则禁用。
提示:Win10的启动项移动到任务管理器里面了。
2、gpedit.msc
gpedit.msc是Windows自带的本地组策略编辑器,可以查看启动/关机脚本。
WIN + R,输入gpedit.msc,打开本地组策略编辑器。
点击【Windows设置】-【脚本(启动/关机)】-【启动】,查看是否有异常的启动脚本,有则删除。
3、注册表
WIN + R,输入regedit,打开注册表。
1)用户设置的启动项是排查的重点,删除后不影响系统运行。
\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
2)系统设置的启动项,一般是第三方软件的驱动程序,谨慎删除,可能会对系统造成影响。
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
3)系统启动项,不要随便删除,否则会影响系统的正常运行。
\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run
4、msinfo32
msinfo32是Windows自带的系统信息工具,可以查看系统的启动程序。
WIN + R,输入msinfo32,打开系统信息工具。
点【软件环境】-【启动程序】- 检查右侧启动程序是否有异常程序。
5、启动菜单
左下角【开始】-【所有程序】-【启动】,打开是一个目录,检查里面有没有异常启动项。
二、计划任务分析
很多恶意程序会把自己添加到计划任务中,在固定时间启动。
1、任务计划程序
控制面板里搜计划任务,打开任务计划程序。
或者WIN + R,输入taskschd.msc,打开任务计划程序。
检查是否有异常的计划任务。
2、schtasks
schtasks.exe是计划任务程序的命令执行方式,两者的操作实时同步。
打开cmd,输入schtasks
,默认展示所有的计划任务。
三、服务自启动分析
WIN +R,输入services.msc,打开服务工具。
单击启动类型排序,重点查看启动类型为【自动】的服务。