前言

相信各个师傅都收到了消息，今年的护网将是常态化护网，周期非常的长。在这几天，已经有各大厂商开始陆续的收集简历了吧，相信以护网的薪酬，大家都想分一杯羹。那么我们学会应急响应是必不可少的！让我们也马上卷起来吧！

温馨提示

文章并未写全所有的姿势以及知识点，整篇文章知识点围绕着靶场需要的知识点进行讲解，可能对小白并不是特别友好~但我会尽量讲的详细一点。

正式开始

知识点一：恶意用户排查

恶意用户，就是黑客在我们的主机上（服务器上）创建的克隆用户或者是隐藏用户。

黑客创建这些用户的目的呢就是为了进行一个持久化的维权，保持对我们主机的控制，相当于留了一个后门！！！十分可恶嗷，太可恶了！！！（日常发癫）

首先我们要如何去查看这个用户呢？

可以通过计算机管理查看，注意：Windows只有专业版才能查看

可以看到这里有多少个用户。

也可以通过命令查看

当然这里看到的用户就没有那么详细了。可以看到我们创建的基本用户。让我们走入红队的视角：

你现在是一名黑客：你成功连接了，你要创建一个隐藏用户

net user hiddenuser$ Password123 /add

值得注意的是，你拿到普通用户可没有创建用户的权限，所以发现黑客在你电脑上创建了账户，八成你的管理员账户被打下来了。或者是特殊权限的账户。

可以看到1，是准备创建的一个普通用户。而2，就是创建的一个隐藏用户。

可以看到2，我们无法查询出来，这就是隐藏用户。克隆用户就不演示了。

现在！有一个命令，可以秒杀一切！！！

wmic useraccount

可以看到，就查出了刚刚创建的隐藏用户，不仅是隐藏用户，而且克隆用户一样可以查出来！就学这一条命令就可以了！

知识点二：计划任务排查

Windows计划任务是Windows操作系统中的一个重要功能，它允许用户在特定时间或条件下自动执行程序或脚本。

简单来说，就是我们煮饭的定时器，我们定了一个小时，那么电饭煲就会在一个小时后关闭。

以黑客的视角我们要怎么创建一个计划任务呢？

有两种方式：

一种图形化

为了大家方便理解，我们先用命令行来做一个演示

通过指定执行时间进行

时间一到，直接执行，这就是计划任务命令！

一种命令行，也很简单

schtasks /create /tn "输入你的想要的计划任务名称" /tr "输入你想启动的软件完整路径" /sc minute /mo 1

这条命令就是创建一个一分钟执行一次的计划任务

/sc MINUTE指定了计划类型为每分钟执行，/mo 1指定了每隔1分钟执行一次。

成功执行。

好了学会怎么创建，那么我们就要学如何排查了。

首先我们可以使用schtasks列出所有的计划任务，显示所有计划任务，以表格形式，进行一个一个排查

非常不推荐这样

而在此基础上，可以使用命令-->schtasks /query /tn "计划任务的名称" /v /fo:list

来查询指定的计划任务的问题~

要配合参数才可以使用。

而我们往往要排查计划任务的办法，即使不推荐，但也得一个一个的进行排查。因为你除非知道三要素，计划任务的名称，执行病毒文件的名称，或者主机被控的时间段。这些信息才能帮助我们缩小排查的范围。

如果有这些信息的话，就可以使用everything这个软件进行进一步的排查。

知识点三：日志排查

Windows的日志记录了大量的信息，包括主机什么时间点被控制，运行了哪些文件，主机