在網絡安全應急響應中,系統排查是快速識別潛在威脅的關鍵步驟。以下是針對Windows和Linux系統的系統基本信息排查指南,涵蓋常用命令及注意事項:
一、Windows系統排查
1. 系統信息工具(msinfo32.exe)
- 命令執行:
通過界面查看:msinfo32.exe # 打開圖形化系統信息窗口- 正在運行的任務:軟件環境 → 正在運行的任務。
- 服務:軟件環境 → 服務(顯示所有服務狀態)。
- 系統驅動程序:軟件環境 → 系統驅動程序。
- 加載的模塊:軟件環境 → 加載的模塊(DLL文件)。
- 啟動程序:軟件環境 → 啟動程序(注冊表啟動項)。
2. 命令行替代工具(高效收集信息)
- 系統信息匯總:
systeminfo > system_info.txt # 導出系統配置概覽 - 進程與模塊:
tasklist /v > processes.txt # 詳細進程列表(含加載的DLL) wmic process list full > processes_wmic.txt - 服務與驅動:
sc query type= service state= all > services.txt # 所有服務狀態 driverquery /v > drivers.txt # 驅動程序詳情 - 啟動項檢查:
wmic startup get caption,command,location > startup_items.txt reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" # 注冊表啟動項 reg query "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
二、Linux系統排查
1. CPU信息
lscpu > cpu_info.txt # CPU架構、核心數等
cat /proc/cpuinfo >> cpu_info.txt
2. 操作系統信息
uname -a > os_kernel.txt # 內核版本、主機名等
cat /etc/os-release > os_distro.txt # 發行版詳細信息
lsb_release -a >> os_distro.txt
3. 內核模塊信息
lsmod > loaded_modules.txt # 已加載的內核模塊
cat /proc/modules >> loaded_modules.txt
# 檢查可疑模塊(如名稱異常):
grep -i "可疑關鍵詞" loaded_modules.txt
4. 擴展排查建議
- 進程與網絡:
ps aux > processes.txt # 所有運行中的進程 netstat -tulnp > network_connections.txt # 網絡連接與監聽端口 ss -tulnwp >> network_connections.txt # 替代netstat - 啟動項:
systemctl list-unit-files --type=service | grep enabled > enabled_services.txt ls -lah /etc/init.d/ /etc/rc*.d/ # 傳統SysV啟動腳本
三、注意事項
- 最小化干擾:避免修改系統狀態(如結束進程),優先收集只讀信息。
- 完整性校驗:使用可信工具(如從U盤啟動的急救環境)避免依賴被篡改的系統命令。
- 日志保存:將命令輸出重定向到文件(如
> output.txt),便于后續分析。 - 權限要求:部分命令需管理員權限(Windows的
管理員CMD,Linux的sudo)。
通過上述步驟,可快速獲取系統關鍵信息,輔助判斷是否存在惡意進程、異常驅動或未授權服務,為應急響應提供基礎數據支持。
)
之安裝master節點組件(kube-apiserver))
)
)
