Windows应急响应基础技能

1. 系统信息排查

   利用命令lscpu查看CPU信息

   利用命令uname -a查看系统版本信息

   输入awk -F: '{if($3==0)print$1}' /etc/passwd查看特权账户，awk -F: '{if(length($2)==0)print$1}' /etc/passwd查看无密码登陆账号，cat /etc/passwd | grep '/bin'查看了登陆账号

   利用命令last查看曾经crash的账户

   查看etc目录，可以看到rc.local自启文件，cat查看 (ls /etc | grep rc)

   crontab -l查看计划任务
   

2.