如何通过系统命令排查账号安全

query user 查看当前登录账号

logoff id 注销用户id
net user 查看用户

net user username 查看用户登录情况
lusrmgr.msc

查看隐藏账号

win+R打开regedit注册表
找到计算机\HEKY_LOCAL_MACHINE\SAM\SAM\右键给与用户读写权限
刷新打开
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Users\查看是否存在可疑用户

通过Logparser查看日志

eventvwr.exe打开事件查看器 导出安全日志
查看用户登录情况
LogParser.exe -i:EVT “SELECT TimeGenerated,EXTRACT_TOKEN(Strings,5,‘|’) AS USERNAME,EXTRACT_TOKEN(Strings,5,‘|’) AS SERVICE_NAME,EXTRACT_TOKEN(Strings,5,‘|’) AS Client_IP FROM ‘C:\Users\Ryongao\Desktop\1.evtx’ WHERE EventID=4624”
我这边是没有信息

查看登录成功的事件
LogParser.exe -i:EVT -o:DATAGRID “SELECT * FROM ‘C:\Users\Ryongao\Desktop\1.evtx’ where EventID=4624”

使用WEBshell扫描D盾

通过web日志判断攻击方式
lis7默认日志存放位置
C:\inetpub\logs\LogFiles\随机目录名
Weblogic默认日志存放地址
C:\Oracle
\Middleware\user
_projects
\domains\base_domain\servers\AdminServer\logs

检测异常端口进程

netastat -ano
netastat -ano |findstr “ESTABLISHED” 已经成功建立连接



这边杀掉之后操作不了

我们这边也可以使用Process Hacker查看端口进程
这边我们已经杀掉了我就不做演示了

系统启动项及定时任务

通过msconfig管理启动项
如果启动项比如是c:\windows\system32\bingdu.exe -Ldp 5555 -e cmd.exe
这种就是病毒自启动程序

通过注册表查看

通过Schtasks查看

Schtasks | more 查看全部计划任务
Schtasks /query /tn test 查看指定计划任务
Schtasks /Delete /tn 任务计划名称 进行删除

最近打开的文件

%UserProfile%Recent

Autoruns系统信息查看工具