更新时间:2022-12-01 GMT+08:00
排查思路
本文档为您介绍两种Windows主机排查方法,推荐选择“工具溯源排查”的方法:
- 方案一:工具取证排查(推荐):使用Windows官方的进程/链接/自启动分析工具进行排查。
- 使用工具取证排查方案时,建议如下软件工具:
表1 软件工具 工具名称
下载地址
ProcessExplorer
https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer
Tcpview
https://docs.microsoft.com/zh-cn/sysinternals/downloads/tcpview
Autoruns
https://docs.microsoft.com/zh-cn/sysinternals/downloads/autoruns
busybox-x86_64
https://busybox.net/downloads/binaries/1.16.1/busybox-x86_64
- 方案二:DOS系统命令排查:通过Windows主机DOS系统命令排查。
父主题: 主机安全排查(Windows操作系统)