专栏首页CVM技术交流【玩转腾讯云】Windows云服务器排障思路
原创

【玩转腾讯云】Windows云服务器排障思路

2860元腾讯云代金券免费领取,付款直接抵现金,立即领取>>>

腾讯云服务器1折限时抢购,2核4G云主机899元/3年,立即抢购>>>

Windows排障对我来说很简单,毕竟是鼠标操作,而且有那么多小工具辅助排障,非常轻松。本文更偏重通用能力,不仅适用腾讯云,其他云也适用。专对腾讯云的话,推荐我写的一篇腾讯云SDK踩坑、填坑的文档,那个花了我上百个小时,是我10篇云+社区文档的集锦,腾讯云API Explorer工具的基本用法,让你熟练掌握6种SDK的使用

回归本文主题,在说Windows排障思路之前,我先提醒一下大家,PC软件在Windows服务器上的一些意外表现我在这里特别介绍过,服务器上使用PC软件要谨慎。另外,Windows日志获取和分析并不难,我一般都自己分析,有提工单的功夫自己都分析出来原因了(个人感觉阿里云的工单服务最慢、腾讯云的工单服务给用户打电话的频率最高、华为云的工单服务我还在体验中……)。

言归正传,本文从系统驱动、应用软件、计划任务、开机加载项、系统关键目录、病毒木马、dmp文件分析、常用软件集nirsoft.net和sysinternals.com、通用软件10个方面进行简要介绍Windows排障思路。

1、系统驱动

①process explorer

如上图,只能选System进程,选择后点“view → Lower Pane View → Dlls (Ctrl+D)”,在下方有系统所有驱动,有4列:Name、Description、Company Name、Path,主要通过看“Company Name”这一列比较能容易分辨出哪些是新引入的。

也可以通过autoruns查看系统驱动、服务列表、计划任务来找异常。

https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns

/developer/article/1557575

整体来说,autoruns和process explorer是我进行Windows排障的必用工具,是性价比最高的Windows排障工具。

②nirsoft.net ServiWin

ServiWin utility displays the list of installed drivers and services on your system.

ServiWin实用程序显示系统上已安装的驱动程序和服务的列表。

http://www.nirsoft.net/utils/serviwin.html

nirsoft.net里还有个小工具叫InstalledDriversList,顾名思义就知道其作用。

2、应用软件

appwiz.cpl

第三方软件比如revo uninstaller pro、UninstallView(nirsoft.net小工具之一)等都可以查看系统已经安装的软件有哪些,这些软件可以比appwiz.cpl更详细地展示各软件安装的先后顺序,卸载的话也比appwiz.cpl卸载得干净一些。

3、计划任务

①计划任务快捷方式的位置

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Task Scheduler.lnk

②命令:

taskschd.msc

③计划任务存在于4个位置:

C:\Windows\SysWOW64\Tasks

C:\Windows\System32\Tasks

C:\Windows\System\

C:\Windows\Tasks\

4、开机加载项

①对分析开机加载项有用的软件:

AnVir Task Manager

WhatInStartup

Autoruns

Security Task Manager

Startup Delayer

WinPatrol

②Winlogon Shell,打开组策略分析,没有的话略过

③分析注册表位置

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\

④Startup目录

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup

C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

C:\Windows\System32\GroupPolicy\Machine\Scripts\Startup

C:\Documents and Settings\All Users\Start Menu\Programs\Startup

C:\ProgramData\Start Menu\Programs\Startup

⑤%xxx%目录

%APPDATA%

%CommonProgramFiles%

%TEMP% 和 %TMP%

%ProgramW6432%

%programfiles(X86)%

%programfiles%

%SYSTEMROOT%

%WINDIR%

%HOMEDRIVE%

%SYSTEMDRIVE%

%ALLUSERSPROFILE%

%USERPROFILE%

%public%

5、系统关键目录

Fonts

Desktop

Web

Temp

System

Sytem32

Windows

Logs

Security

Inf

Debug

……

运行框输入以上文件夹名称即可打开

例如

⑥系统环境变量

echo %path% (跟Linux不一样,Linux是echo $PATH)

6、服务列表

services.msc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\

好多木马病毒存在于硬盘并且在注册表里注册了“服务”,但是这个服务是隐藏的,并不能在services.msc列表里看到

psservice (sysintelnals.com pstools工具集 /developer/article/1617430

7、病毒木马

360、电脑管家 /developer/article/1612225

https://www.virustotal.com/gui/home/upload

http://lockhunter.com/download.htm

Windows木马病毒经常藏匿于以下位置

C:\Users\Administrator\AppData\Local\Microsoft\Windows\Temporary Internet Files

C:\Users\Administrator\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5

还有其他Content.IE5,用Everything搜一下

C:\Windows\Temp

C:\Users\ADMINI~1\AppData\Local\Temp (还有其他用户的temp目录,替换用户名即可)

C:\Users\Administrator\AppData\Local\Temp同上

XP、2003的temp路径如下

C:\DocumentsandSettings\用户名\LocalSettings\Temp

C:\DocumentsandSettings\用户名\LocalSettings\Temporary Internet Files

C:\Windows\inf\

C:\Windows\Web\

C:\Windows\debug\

C:\Windows\Fonts

各个分区的System Volume Information

杀毒命令(正常系统文件都有固定位置,不在原有位置的同名文件一般都是病毒木马)

wmic process where "name='svchost.exe' and ExecutablePath<>'C:\\WINDOWS\\system32\\svchost.exe'" call Terminate

wmic process where "name='wininit.exe' and ExecutablePath<>'C:\\WINDOWS\\system32\\wininit.exe'" call Terminate

wmic process where "name='csrss.exe' and ExecutablePath<>'C:\\WINDOWS\\system32\\csrss.exe'" call Terminate

wmic process where "name='csrs.exe' and ExecutablePath<>'C:\\WINDOWS\\system32\\csrs.exe'" call Terminate

wmic process where "name='WUDFHost.exe' and ExecutablePath<>'C:\\WINDOWS\\system32\\WUDFHost.exe'" call Terminate

wmic process where "name='services.exe' and ExecutablePath<>'C:\\WINDOWS\\system32\\services.exe'" call Terminate

wmic process where "name='taskhost.exe' and ExecutablePath<>'C:\\WINDOWS\\system32\\taskhost.exe'" call Terminate

wmic process where "name='conhost.exe' and ExecutablePath<>'C:\\WINDOWS\\system32\\conhost.exe'" call Terminate

wmic process where "name='winlogon.exe' and ExecutablePath<>'C:\\WINDOWS\\system32\\winlogon.exe'" call Terminate

wmic process where "name='msinfo.exe' and ExecutablePath<>'C:\\WINDOWS\\system32\\msinfo.exe'" call Terminate

wmic process where "name='explorer.exe' and executablepath<>'%SystemDrive%\\windows\\explorer.exe'" call Terminate

wmic process where "name='msinfo.exe' and ExecutablePath<>'C:\\WINDOWS\\system32\\msinfo.exe'" delete

wmic process where "name='explorer.exe' and executablepath<>'%SystemDrive%\\windows\\explorer.exe'" delete

获取字体目录里异常进程的命令,结果集里并不都是病毒,命令的作用是排除掉字体文件把剩下的文件列出来

wmic datafile where "drive='c:' and path='\\windows\\fonts\\' and extension<>'ttf' and extension<>'fon' and extension<>'ttc' " get Name

wmic datafile where "drive='c:' and path='\\windows\\fonts\\' and extension<>'ttf' and extension<>'fon' and extension<>'ttc' " get Name,Path,CreationDate,LastAccessed,LastModified

wmic datafile where "drive='c:' and path='\\windows\\fonts\\' and extension<>'ttf' and extension<>'fon' and extension<>'ttc' " get Name,Path,CreationDate,LastAccessed,LastModified /value

wmic datafile where "drive='c:' and path='\\windows\\fonts\\' and extension<>'ttf' and extension<>'fon' and extension<>'ttc' " get Name,Path,CreationDate,LastAccessed,LastModified /format:list

/developer/article/1613296

8、dmp文件分析

①bluescreen view

http://www.nirsoft.net/utils/blue_screen_view.html

https://www.dell.com/support/article/zh-cn/sln179253/%E8%AF%86%E5%88%AB%E5%92%8C%E8%AF%8A%E6%96%AD%E6%88%B4%E5%B0%94%E8%AE%A1%E7%AE%97%E6%9C%BA%E4%B8%8A%E7%94%B1%E8%93%9D%E5%B1%8F-bsod-%E5%AF%BC%E8%87%B4%E7%9A%84windows%E5%B4%A9%E6%BA%83%E5%92%8C%E9%87%8D%E6%96%B0%E5%90%AF%E5%8A%A8%E9%94%99%E8%AF%AF?lang=zh

②windbg(winbdg怎么安装、怎么使用麻烦自己上网查)

9、其他可能会用到的软件

①Sysinternals.com工具集

Sysinternals里有pstools等一大堆实用小工具,这里要重点强调下,newsid.exe已经被淘汰了,不要在云服务器上乱用newsid,这可能会导致服务器黑屏或陷入recovery模式而无法恢复,如果是修改sid,建议使用sysprep命令或使用sidchg这个第三方软件。值得一提的是,sysprep有2个缺点:特别耗费时间、会清理“家目录”里的数据。

②nirsoft.net里面有很多好软件,比如UninstallView、LastActivityView、TurnedOnTimesView、WinLogOnView、BlueScreenView、BrowsingHistoryView、CurrPorts、DevManView、DriverView 、EventLogSourcesView、HashMyFiles、InstalledCodec、InstalledDriversList、ProcessActivityView、ProduKey、RegScanner 、ShellMenuView、SmartSniff、SoundVolumeView、SpecialFoldersView、USBDeview、WebSiteSniffer、WhatInStartup、ServiWin

10、通用软件或能力

云平台安全组、系统防火墙、everythingnotepad++powershellwireshark

11、关于Windows方面的积累我还有很多,列举如下

Windows系统小工具之pstools:psservice、psinfo……

Exception Processing Message 0xc000007b Parameters

Windows网络小工具之pstools:psping、pslist……

Win10这样卸载Edge浏览器不会导致注销和重启变慢

Windows网络小工具之traceroute和tcping

利用 WimBuilder2 最新稳定版 DIY Win10PE

制作种子文件分享自己制作的基于最新版Win10的WinPE

是否可以删除 WinSxS 文件夹

花15分钟时间掌握必知必会的20个PowerShell命令

fonts文件夹挖矿病毒识别办法

最全Windows代系介绍,迎接Windows 2020,回顾Windows XP经典

curl --tlsv1.x和--tls-max 1.x 参数详解

Windows奇技淫巧:如何添加TrustedInstaller权限

win10 、server 2019、office 2019激活

WinPE制作介绍

XP Win7 双系统 多用户远程连接配置

Visual Studio 2019 惨痛 踩坑 经历 0x80070490 0x80040154

Windows挂CFS(NFS)中文乱码如何解决

好用的Windows跨平台远程工具分享

Linux和Windows下硬盘/分区对拷和硬盘/分区写0是怎么回事

我爱你的一诺

WinNTSetup极大简化Windows系统安装

推荐一款非常实用的Windows驱动备份、恢复、删除的专用工具

DiskGenius 5.1版本bug很多,不建议使用

Windows命令新解

Windows SmartScreen阻止文件执行如何关闭?

sql server 2000、2005/2008/2008R2/2012/2014/2016/2017/2019 express全版本下载地址

sqlserver2008/2008R2/2012/2014/2016/2017/2019通用安装脚本

win10/server2016/server2019关闭系统自带安全保护

Windows安装dig命令

phpstudy8在windows2016上安装后在服务列表找不到服务

windows校验文件时计算md5、sha1、sha256值的若干种办法

误删除 文件 磁盘 格式化 勒索 加密 数据 恢复 指南

实用powershell命令

低配机器安装个WPS经常内存爆满卡死如何解决?

Windows 邮箱服务器 WinWebMail Server 配置过程

Windows安全狗导致的若干问题

解决explorer.exe被篡改加载NewOverlayIcon32(64).dll报错

IIS启动不了,80端口被占用,如何快速定位被谁占用

Windows查看网卡驱动版本

FileZilla 错误:Server unexpectedly closed network connection 无法连接到服务器

Windows服务器在Mac上远程后看起来字体和图标都特别小,如何解决?

安装Windows Performance Toolkit进行0.1微秒级CPU监控

到底哪个才是Windows服务器真正的用户名?

Windows服务器如何支持https多站点

分享个Windows远程会话管理工具,非常赞,谁用谁知道

3389 Windows 远程端口修改工具

任务管理器里所有进程的内存占用加起来怎么远小于总的内存×内存占用率?

关于Windows服务器默认远程会话数的说明

针对国内机房访问国外网站如亚马逊等网站效果较差时的解决办法

利用process explorer和autoruns找蓝屏、死机的异常点

Windows上利用powershell安装dotnet和iis

我常用的Windows命令

Windows远程复制粘贴大文件不稳定如何解决

Windows EIP直通手动配置步骤

Windows缓存目录200多万个缓存文件导致业务不可用

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 分享个Windows远程会话管理工具,非常赞,谁用谁知道

    官网地址:http://www.hoowi.com/multidesk/index_chs.htm

    我爱你的一诺
  • windows网络工具/方案集锦

    我爱你的一诺
  • Windows命令新解

    在我看来,Windows和Linux是相通的,都是通过命令实现控制,只不过Windows图形化做得好,很多命令不用记,直接点按钮就实现了,而在日常Windows...

    我爱你的一诺
  • cmd

    在 PC 行业的早期,大多数计算机完全是通过在命令行输入命令来操作的。 基于 Unix、CP / M、DR-DOS 等机器争夺地位和市场份额。 最终,MS-DO...

    iOSDevLog
  • Windows 2008 R2服务管理器刷新失败的解决方法

    刷新服务器管理器时出现意外错误: 异常来自 HRESULT:0x800F0818,有关详细信息,请参阅事件日志: 诊断、事件查看器、应用程序和服务日志、Micr...

    习惯说一说
  • 儿童节礼物-BlueKeep漏洞POC恐怖来袭

    外媒 SecurityWeek 报道,将近 100 万台设备存在 BlueKeep 高危漏洞安全隐患,而且已经有黑客开始扫描寻找潜在的攻击目标。

    洛米唯熊
  • 找回Windows Server&Windows10 ltsb 图片查看器

    搜索 cmd 找到 命令符提示行 ,右键 以管理员身份运行,输入以下代码,并回车。

    德顺
  • Windows 10内测新版API接口:可用于拨号,来电拦截等

    过去几年一直有传闻称微软正在研发Surface Phone,不过确凿的证据却少之又少,很多还推测都还停留在专利层面,不过现据外媒在Windows 10最新预览版...

    BestSDK
  • Openlayers2唯一值渲染

    lzugis
  • 极简Scikit-Learn入门

    感觉可以扩展的东西很多,后台也有朋友发私信提了一些建议怎奈时间精力有限,多元线性回归的模型诊断再次延迟。大家有好的建议也欢迎留言,也期待大家能够投稿原创文章。今...

    统计学家

作者介绍

精选专题

活动推荐

扫码关注云+社区

领取腾讯云代金券

http://www.vxiaotou.com