文件分析
• 最近使用文件
– C:\Documents and Settings\Administrator\Recent
– C:\Documents and Settings\Default User\Recent
– %UserProfile%\Recent
• 系统日志分析
– 事件查看器 eventvwr.msc
用户分析
• 查看是否有新增用户
• 查看服务器是否有弱口令
• 查看管理员对应键值
• lusrmgr.msc 查看账户变化
• net user 列出当前登录账户
• wmic UserAccount get 列出当前系统所有账户
进程分析
• netstat -ano 查看是否打开了可疑端口
• tasklist 查看是否有可疑进程
• 分析开机自启程序
– HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
– HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
– HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
– HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
– HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
– HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
– HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
– HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
– HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
– (ProfilePath)\Start Menu\Programs\Startup 启动项
– msconfig 启动选项卡
– gpedit.msc 组策略编辑器
• 查看计划或定时任务
– C:\Windows\System32\Tasks\
– C:\Windows\SysWOW64\Tasks\
– C:\Windows\tasks\
– schtasks
– taskschd.msc
– compmgmt.msc
• 查看启动服务
– services.msc
日志分析
• 事件查看
– eventvwr.msc
其他
• 查看系统环境变量