1.啟動項
-
win+r 輸入msconfig,在"工具"裡找到“工作管理員”;(底部工作列右鍵,也可開啟),檢視啟動項
-
一般應用啟動項位置:
C:\Users\adnim\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup -
win+r 輸入msinfo32,在"軟體環境"裡可以看到
-
Autoruns功能強大,會自動將所有啟動項進行分類,也會自動高亮部分條目,其還支援將檔案上傳到VituralTotal沙箱去檢視分析檔案
- 紅色:表示可疑條目,沒有釋出者或描述,或具有無效的簽名。
- 綠色:表示在上次 Autoruns 掃描之後新增的條目。
- 黃色:表示找不到檔案的條目,其目標檔案未在預期位置中找到
- 紫色:表示條目的位置或路徑。
2.計劃任務
- win+r輸入taskschd.msc 管理員模式執行
- cmd輸入taskschd
- schtasks /query /v /fo list以列表方式列出(.../fo csv以csv格式輸出)
- Autoruns中的"計劃任務"
3.防火牆
- netsh.exe命令列管理防火牆
netsh advfirewall show currentprofile(檢視防火牆執行狀態) - win+r 輸入firewall.cpl ==》高階設定
- Systeminformer可以檢視實時的應用透過防火牆與外界進行連線的情況
4. 程序排查
- 工作管理員
- 工作列底部,右擊,開啟工作管理員,選擇程序(透過右擊標題欄,可新增引數)
- win+r=>工具=>啟動=>工作管理員
- Procexp工具
- 火絨劍
- tasklist
tasklist /v 顯示程序和所有者 /m檢視所有程序dll資訊1.內容太多可以用>>將其輸出到檔案,再用type命令檢視檔案:
tasklist /v >>1.txt|type 1.txt
2.|more命令慢慢檢視輸出(空格滾一屏、回車滾一行):
tasklist /v|more
3.cmd內容太多會重疊,可以用powershell執行,並在標題框右擊設定字型大小 - taskkill
taskkill /f /pid 123 /t - netstat命令檢視IP與埠連線
netstat -ano 7
-a顯示所有網路
-n顯示埠號而非名稱
-o顯示每個程序ID
-p根據協議過濾
7 每隔7s重新整理一次- 狀態(State)解釋:
Listening 偵聽
established建立連線
close_wait對方主動關閉或網路異常連線中斷
timewait:我方主動close斷開連線收到對方確認後變為time_wait
syn_sent表示請求連線,通常狀態很短暫,若有多個此類連線,說明有可能遭受衝擊波等病毒了
注意:TCP協議中有TIME_WAIT這個狀態
主要有兩個原因
1。防止上一次連線中的包,迷路後重新出現,影響新連線(經過2MSL,上一次連線中所有的重複包都會消失)
2。可靠的關閉TCP連線。在主動關閉方傳送的最後一個 ack(fin) ,有可能丟失,這時被動方會重新發
fin, 如果這時主動方處於 CLOSED 狀態 ,就會響應 rst 而不是 ack。所以主動方要處於 TIME_WAIT 狀態,而不能是 CLOSED 。 - 狀態(State)解釋:
- sc命令
sc qc 服務名 - powershell排查
get-help *process*檢視與程序相關的命令(powershell命令一般動詞加名詞)- get-process獲取終端程序
- Stop-process -name 程序名 停止某個程序
- Get-Process -Name qq|Stop-Process #獲取qq程序,然後停止該程序
- Get-Process -name qq | Format-List * #獲取qq程序詳細資訊
1.format-windwos輸出格式有format-list或format-table -property設定顯示屬性,允許萬用字元
- wmic命令查詢(windows伺服器)
wmic startup list full 檢視啟動項
wmic process 檢視程序對應檔案
5.服務排查
- win+r輸入services.msc
- win+r輸入compmgmt.msc開啟“服務”