用户信息 | net user:查看用户账户信息(看不到以$结尾的隐藏用户); net user username:查看用户名为username用户的详细信息; lusrmgr.msc:打开本地用户与组,可查看隐藏用户; 打开计算机管理-本地用户与组可查看隐藏用户; wmic useraccount get name,sid:查看系统中的所有用户; 注册表查看是否存在克隆账户:regedit打开注册表,选择HKEY_LOCAL_MACHHINE下的SAM选项,为该项添加允许父项的继承权限传播到该对象和所有子对象。包括那些在此明确定义的目标和用在此显示的可以应用到子对象的项目替代所有子对象的权限项目权限,使当前用户拥有SAM的读取权限。添加之后F5刷新即可访问子项并查看用户信息。同时,在此项下导出所有00000开头的项,将所有导出的项与000001F4(对应Administrator用户)导出内容做比较,若其中的F值相同,则表示可能为克隆账户。 | 查看所有用户信息:cat /etc/passwd 后续各项由冒号隔开,分别表示用户名、密码加密、用户ID、用户组ID、注释、用户主目录、默认登录shell。最后显示 bin/bash的,表示账户状态可登录,显示sbin/nologin的,不可登陆。 awk -F: ‘{if($3==0)print $1}’ /etc/passwd :查询登录账户UID=0的账户,root是uid等于0的账户,如果出现其它的账户,就要重点排查; 查看可登录账户:cat /etc/passwd | grep ‘/bin/bash’ 查看用户错误的登录信息:lastb(包括错误的登录方法、ip、时间等) 查看所有用户最后的登录信息:lastlog 查看用户最近登录信息:last 查看当前用户登录系统信息:who 查看空口令账户:awk -F: ‘length($2)==0 {print $1}’ /etc/shadow |
启动项 | msconfig:可查看启动项的详细信息; 注册表查看: HKEY_CLASSES_ROOT:此处存储的信息可确保在windows资源管理器中执行时打开正确的程序。它还包含有关拖放规则、快捷方法和用户界面信息的更多详细信息; HKEY_CURRENT_USER:包含当前登录系统的用户的配置信息,有用户的文件夹、屏幕颜色和控制面板设置; HKEY_LOCAL_MACHINE:包含运行操作系统的硬件特定信息,有系统上安装的驱动器列表及已安装硬件和应用程序的通用配置; HKEY_USERS:包含系统上所有用户的配置信息,有应用程序配置和可视配置; HKEY_CURRENT_CONFIG:存储有关系统当前配置信息。 查看注册表中的信息:reg query “HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run” | cat /etc/init.d/rc.local cat /etc/rc.local ls -alt /etc/init.d 查看init.d文件夹下的所有文件的详细信息 |
任务计划 | eventvwr:打开事件查看器,可看日志 打开计算机管理——系统工具——任务计划程序——任务计划程序库:可查看任务计划的名称、状态、触发器等信息; 命令行输入schtasks:可获取任务计划信息,要求是本地Administrator组的成员; 在PowerShell下输入get-scheduledtask 可查看当前系统中所有任务计划信息,包括路径、名称、状态等详细信息。 | crontab -l:可查看当前任务计划 crontab -u root -l:查看root用户的任务计划(指定用户) 查看etc目录下的任务计划文件:一般在linux系统中的任务计划文件是以cron开头的,可以利用正则表达式的筛选出etc目录下的所有以cron开头的文件,具体表达式为/etc/cron,例如查看etc目录下的所有任务计划文件就可以输入ls /etc/cron命令。 /etc/crontab /etc/cron.d/ /etc/cron.daily/* /etc/cron.hourly/* /etc/cron.monthly/* /etc/cron.weekly/ /etc/anacrontab
|
