windows应急响应常用

文件查询

msconfig  查看启动项

各个盘符temp目录下

C:\Windows\System32  按照日期查询

%userprofile%\recent  最近访问的文件

指定日期范围的文件

查看文件时间，创建时间、修改时间、访问时间，黑客通过菜刀类工具改变的是修改时间。所以如果修改时间在创建时间之前明显是可疑文件

netstat-ano查看目前的网络连接，定位可疑的ESTABLISHED
netstat -ano | findstr "ESTABLISHED"

LISTENING 侦听状态
ESTABLISHED 建立连接
CLOSE_WAIT 对方主动关闭连接或网络异常导致连接中断

根据netstat定位出的pid，再通过tasklist命令进行进程定位
tasklist | findstr 1712

根据wmic process获取进程的全路径
wmic process | findstr "eth.exe"

系统信息排查

【我的电脑】➜【属性】➜【高级系统设置】➜【高级】➜【环境变量】
排查内容：temp变量的所在位置的内容；后缀映射PATHEXT是否包含有非windows的后缀；有没有增加其他的路径到PATH变量中(对用户变量和系统变量都要进行排查)；

Windows计划任务
【程序】➜【附件】➜【系统工具】➜【任务计划程序】
taskschd.msc

Windows帐号信息，如隐藏帐号等
【开始】➜【运行】➜【compmgmt.msc】➜【本地用户和组】➜【用户】(用户名以$结尾的为隐藏用户，如：admin$)

net user
query user

systeminfo
http://blog.neargle.com/win-powerup-exp-index