0.054 注册表 里面的用户账户
wir r 输入regedit 打开注册表
编辑-查找-administrator(实例) 根据实际情况做出调整
0.541示例一
计算机\HKEY_CLASSES_ROOT\*\shell\runas\command
cmd.exe /c takeown /f "%1" && icacls "%1" /grant administrators:F
上面这段的意思就是让当前用户成为当前文件夹的所有者 获得超级管理员组权限
0.542示例二
计算机\HKEY_CLASSES_ROOT\.doc\WPS.Doc.6\ShellNew
C:\Users\Administrator\AppData\Local\Kingsoft\WPS Office\11.1.0.8840\office6\mui\zh_CN\templates\newFile.wps
上面这段就是一个wps的新建文件模板绝对路径 算是残留在注册表
还有一些*毒软件也会在注册表添加administrators 组权限值
0.0543 如果你不想动手 那么可以用工具看下
- PCHunter 【PC Hunter是一个Windows系统信息查看软件,同时也是一个手工*毒辅助软件。】
- D盾【D盾(Shield)是一款基于SDP(软件定义边界)技术和零信任安全理念,整合公有云、高防等资源,的云分布式抗DDoS产品】0.0544 Guest 是否禁用Guest如无需要 禁用
0.6 端口
这里普及一下端口
常用端口号:
代理服务器常用以下端口:
- . HTTP协议代理服务器常用端口号:80/8080/3128/8081/9080
- . SOCKS代理协议服务器常用端口号:1080
- . FTP(文件传输)协议代理服务器常用端口号:21
- . Telnet(远程登录)协议代理服务器常用端口:23
- HTTP服务器,默认的端口号为80/tcp(木马Executor开放此端口);
- HTTPS(securely transferring web pages)服务器,默认的端口号为443/tcp 443/udp;
- Telnet(不安全的文本传送),默认端口号为23/tcp(木马Tiny Telnet Server所开放的端口);
- FTP,默认的端口号为21/tcp(木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口);
- TFTP(Trivial File Transfer Protocol ),默认的端口号为69/udp;
- SSH(安全登录)、SCP(文件传输)、端口重定向,默认的端口号为22/tcp;
- SMTP Simple Mail Transfer Protocol (E-mail),默认的端口号为25/tcp(木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口);
- POP3 Post Office Protocol (E-mail) ,默认的端口号为110/tcp;
- WebLogic,默认的端口号为7001;
- WebSphere应用程序,默认的端口号为9080;
- WebSphere管理工具,默认的端口号为9090;
- JBOSS,默认的端口号为8080;
- TOMCAT,默认的端口号为8080;
- WIN2003远程登陆,默认的端口号为3389;
- Symantec AV/Filter for MSE ,默认端口号为 8081;
- Oracle 数据库,默认的端口号为1521;
- Oracle EMCTL,默认的端口号为1158;
- Oracle XDB( XML 数据库),默认的端口号为8080;
- Oracle XDB FTP服务,默认的端口号为2100;
- MS SQL*SERVER数据库server,默认的端口号为1433/tcp 1433/udp;
- MS SQL*SERVER数据库monitor,默认的端口号为1434/tcp 1434/udp;
- QQ,默认的端口号为1080/udp以上就是常见的端口情况0.7 日志分析 wir r 输入eventvwr.msc 打开事件管理器
- windows日志 应用程序和服务日志应用程序 安全 Setup 系统 Forwarded Events
主要看的是日志事件是否丢失断点清除痕迹
- 你可以筛选你想分析的目录 选中事件可以右键 保存选中的事件
- 1.可以保存为*.evtx 事件文件
- xml文件 *.xml
- 文本文件 txt
- CSV文件 *.csv
0.071
可以双击事件 看到常规信息 详细信息
常规信息 简要信息 留意事件 计算机 用户 事件ID