网络攻防学习笔记 Day63

在进行受害主机排查时，首先要对主机系统进行基本排查，方便对受害主机有一个初步的了解。

1.Windows 系统

在基础排查时，可以使用 Microsoft 系统信息工具（Msinfo32.exe），它是 Microsoft Windows NT 诊断工具（Winmsd.exe）的更新版本。

1）系统信息工具

在命令行中输入【msinfo32】命令，打开【系统信息】窗口，可以显示出本地计算机的硬件资源、组件和软件环境的信息。除了各方面的概述信息，还可以对正在运行任务、服务、系统驱动程序、加载的模块、启动程序等进行排查。

如果只是简单了解系统信息，还可以通过在命令行中输入【systeminfo】命令实现，可查看主机名、操作系统版本等详细信息。

2）用户信息

【net user】命令，可直接收集用户账户信息（注意，此方法看不到以 $结尾的隐藏账户）

打开【计算机管理】窗口，单击【本地用户和组】中的【用户】选项，可查看隐藏账户，名称以 $结尾的为隐藏账户。

wmic 扩展 WMI（Windows Management Instrumentation，Windows 管理工具），提供从命令行接口和批命令脚本执行系统管理支持。在命令行中输入【wmic useraccount get name，SID】命令，可以查看系统中的用户信息。

3）启动项

在命令行中输入【msconfig】命令，打开 Windows 系统中的【系统配置】对话框，单击【启动】选项卡，可查看启动项的详细信息。

注册表目录的含义如下：

（1）HKEY_CLASSES_ROOT（HKCR）：此处存储的信息可确保在 Windows 资源管理器中执行时打开正确的程序。它还包含有关拖放规则、快捷方法和用户界面信息的更多详细信息。

（2）HKEY_CURRENT_USER（HKCU）：包含当前登录系统的用户的配置信息，有用户的文件夹、屏幕颜色和控制面板设置。

（3）HKEY_LOCAL_MACHINE（HKLM）：包含运行操作系统的计算机硬件特定信息，有系统上安装的驱动器列表及已安装硬件和应用程序的通用配置。

（4）HKEY_USERS（HKU）：包含系统上所有用户配置文件的配置信息，有应用程序配置和可视设置。

（5）HKEY_CURRENT_CONFIG（HCU）：存储有关系统当前配置的信息。

4）任务计划

（1）打开【计算机管理】窗口，选择【系统工具】中【任务计划程序】中的【任务计划程序库】选项，可以查看任务计划的名称、状态、触发器等详细信息。

（2）在 PowerShell 下输入【Get-ScheduledTask】命令，可查看当前系统中所有任务计划的信息，包括任务计划的路径、名称、状态等详细信息。

（3）在命令行中输入【schtasks】命令，可获取任务计划的信息。