更新时间:2022-12-01 GMT+08:00

排查思路

本文档为您介绍两种Windows主机排查方法,推荐选择“工具溯源排查”的方法:
  • 方案一:工具取证排查(推荐):使用Windows官方的进程/链接/自启动分析工具进行排查。
  • 使用工具取证排查方案时,建议如下软件工具:
    表1 软件工具

    工具名称

    下载地址

    ProcessExplorer

    https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer

    Tcpview

    https://docs.microsoft.com/zh-cn/sysinternals/downloads/tcpview

    Autoruns

    https://docs.microsoft.com/zh-cn/sysinternals/downloads/autoruns

    busybox-x86_64

    https://busybox.net/downloads/binaries/1.16.1/busybox-x86_64

  • 方案二:DOS系统命令排查:通过Windows主机DOS系统命令排查。