更新时间:2024-11-07 GMT+08:00
方案二:DOS系统命令排查
本章节介绍如何通过DOS系统命令进程排查。
常用命令
命令 |
作用 |
---|---|
cd |
切换目录。
|
dir /a:(磁盘) |
缺省包含所有文件(系统文件.隐含文件) |
more |
分屏显示文件内容 |
tasklist |
查看进程 |
netstat -ano |
查看链接 |
wmic startup list full |
查看自启 |
net user |
查看用户 |
示例:
|
操作步骤
- 查看是否存在异常进程。
查询命令:tasklist
根据查询结果排除系统进程或业务应用进程,锁定异常进程。
- 查看网络分析,是否存在异常的IP链接主机。
查询命令:netstat –ano
- 检查是否存在异常用户。
- 命令:net user,查询用户信息。
- 查询命令:net user +用户名(如administrator),查询用户更改主机密码的时间。
- 查询命令:systeminfo,查询是否存在重启。
主机重启会自动清理数据,无法分析用户数据,需查询重要文件目录,请参见4。
- 命令:net user,查询用户信息。
- 检查文件分析,是否存异常文件。
查询命令:dir /s + 文件目录(如C:)+ | findstr "exe"
查询磁盘中(如C盘)下,"exe"的文件和目录,根据查询结果排除系统文件或应用创建文件,锁定异常文件。
建议重点排查以下目录:“windows”、“windows\system32”、“windows/system32 \drivers”、“c:\program files\internet explorer/”、“c:\program files\internet explorer\plugin”、“c:\program files\common files\miscrosoft shared”-临时文件夹。
- 查看windows主机登录日志(登录成功事件ID:4624),排查主机是否存在异常登录情况。
- 打开“计算机管理”,选择 ,单击右侧“筛选当前日志”。
- 填写“包括/排除事件 ID”:4624。
图1 筛选当前日志
- 查询结果如图 查询结果所示
- 如果上述方法均不能解决您的疑问,请“提交工单”寻求更多帮助。
父主题: 排查过程