更新时间:2024-11-07 GMT+08:00

方案二:DOS系统命令排查

本章节介绍如何通过DOS系统命令进程排查。

常用命令

命令

作用

cd

切换目录。

  • 当前目录:【./】(同级目录)可省略
  • 上一级目录:【../】
  • 上上一级目录:【../../】

dir /a:(磁盘)

缺省包含所有文件(系统文件.隐含文件)

more

分屏显示文件内容

tasklist

查看进程

netstat -ano

查看链接

wmic startup list full

查看自启

net user

查看用户

示例:

  • 查找D:\Apps\下,包含“DR”的文件: dir /a-d /s "D:\Apps\IDE" | findstr "DR"
  • 查找C盘下,包含“exe”的文件和目录:dir /s C: | findstr "exe"

操作步骤

  1. 查看是否存在异常进程。

    查询命令:tasklist

    根据查询结果排除系统进程或业务应用进程,锁定异常进程。

  2. 查看网络分析,是否存在异常的IP链接主机。

    查询命令:netstat –ano

    1. 根据查询结果排除业务连接端口或业务外部地址连接,锁定可疑地址。
    2. 使用微步在线确认可疑地址是否属于恶意或非正常业务的海外地址。
    3. 通过异常连接的“PID”,通过值(如2240)在1的查询结果找到进程(如vchost.exe)。

  3. 检查是否存在异常用户。

    1. 命令:net user,查询用户信息。

    2. 查询命令:net user +用户名(如administrator),查询用户更改主机密码的时间。

    3. 查询命令:systeminfo,查询是否存在重启。

      主机重启会自动清理数据,无法分析用户数据,需查询重要文件目录,请参见4

  4. 检查文件分析,是否存异常文件。

    查询命令:dir /s + 文件目录(如C:)+ | findstr "exe"

    查询磁盘中(如C盘)下,"exe"的文件和目录,根据查询结果排除系统文件或应用创建文件,锁定异常文件。

    建议重点排查以下目录:“windows”“windows\system32”“windows/system32 \drivers”“c:\program files\internet explorer/”“c:\program files\internet explorer\plugin”“c:\program files\common files\miscrosoft shared”-临时文件夹。

  5. 查看windows主机登录日志(登录成功事件ID:4624),排查主机是否存在异常登录情况。

    1. 打开“计算机管理”,选择系统工具 > 事件查看器 > Windows 日志 > 安全,单击右侧“筛选当前日志”
    2. 填写“包括/排除事件 ID”:4624。
      图1 筛选当前日志
    3. 查询结果如图 查询结果所示
      图2 查询结果

  6. 如果上述方法均不能解决您的疑问,请“提交工单”寻求更多帮助。