Windows 应急响应
Windows 应急响应

0x00 应急响应流程(PDCERF)
-
-
D(Detection,检测):检测阶段,确认安全事件是否发生,收集初步信息
-
C(Containment,抑制):抑制阶段,限制事件影响范围,防止进一步扩散 (微隔离)
-
E(Eradication,根除):根除阶段,清除恶意代码、后门,修复漏洞
-
R(Recovery,恢复):恢复阶段,恢复系统正常运行,验证业务完整性
-
F(Follow-up,跟踪):跟踪阶段,总结复盘,输出报告,加固防御
0x01 文件分析
1.1 开机启动文件
一般情况下,各种木马病毒等恶意程序,都会在计算机开启的过程中自动启动。Windows系统中可以通过以下方式查看开机启动项:
1.1.1 启动菜单栏
C:\Users\asus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
# 当前用户的启动目录,放入此目录的程序会在用户登录时自动运行
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
# 所有用户的公共启动目录,放入此目录的程序会在任何用户登录时自动运行

1.1.2 系统配置(msconfig)
msconfig
# 打开系统配置工具,在"启动"选项卡中可管理启动项(Windows 10/11会跳转到任务管理器)

1.1.3 注册表启动项
regedit
# 打开注册表编辑器,查看和编辑启动项
常见启动项注册表路径:
计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
# 系统级开机启动项,所有用户登录时都会执行
计算机\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
# 当前用户级开机启动项,仅当前用户登录时执行
计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
# 系统级一次性启动项,执行一次后自动删除
计算机\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
# 当前用户级一次性启动项,执行一次后自动删除

说明:在注册表中新建启动项,在
msconfig中可以看到,但在启动文件夹中不显示。
1.1.4 组策略启动脚本
gpedit.msc
# 打开本地组策略编辑器,可配置计算机启动/关机脚本和用户登录/注销脚本

组策略启动脚本路径:
-
计算机配置 → Windows设置 → 脚本(启动/关机)
-
用户配置 → Windows设置 → 脚本(登录/注销)
1.1.5 服务与计划任务
services.msc
# 打开服务管理器,查看所有系统服务,重点关注启动类型为"自动"的可疑服务
taskschd.msc
# 打开任务计划程序,查看所有计划任务
1.2 Temp临时异常文件
Temp(临时文件夹)位于 C:\Users\用户名\AppData\Local\Temp,很多临时文件会放到这里,用于收藏文件、浏览网页时的临时文件、编辑文件等。
%temp%
# Win+R运行此命令即可打开临时文件夹

Temp文件夹排查要点:
-
Temp特殊性:
-
Temp文件夹位于RAM Disk上,写入操作和文件操作速度很快
-
Temp文件夹对当前登录用户具有完全控制权限(读写访问)
-
恶意程序在传播时一定可以向Temp文件夹写入文件
-
-
重点关注文件类型:
-
PE文件(
.exe、.dll、.sys、.msi) -
特别大的TMP文件
-
常见工具名称(
fscan、msscan、frp、mimikatz等)
-
PE文件:Windows系统中可执行的文件类型,不仅限于
.exe文件。
-
文件在线查杀:
https://www.virustotal.com/ # 国外在线病毒扫描网站
https://www.virscan.org/ # 国内在线病毒扫描网站
https://habo.qq.com/ # 腾讯哈勃分析系统

沙箱:
沙箱(Sandbox)是一种安全隔离机制,它为运行中的程序创建一个独立的、受限的执行环境,防止恶意代码或不可信程序对系统造成破坏或窃取敏感数据。
-
盒子与外界是隔离的,程序无法访问盒外的系统资源
-
即使程序是恶意的,破坏也仅限于盒子内部,不会影响整个系统
1.3 浏览器信息分析
在被黑客拿下的服务器上,黑客可能会使用浏览器访问网站,因此可以查看浏览器记录,探索是否被用于下载恶意代码。
IE浏览器查看历史记录: 工具 → 浏览器栏 → 历史记录和下载的内容
重点搜索关键词:
-
Chrome、Firefox浏览器下载记录 -
Xshell、SecureCRT等远程连接工具 -
向日葵、ToDesk、TeamViewer等远程协助工具(低版本向日葵无感控制 ) -
WeChat、QQ等通讯工具
1.4 文件时间属性分析
在Windows系统中,文件属性具有三个时间属性:
-
创建时间(Creation Time)
-
修改时间(Modified Time)
-
访问时间(Access Time,默认情况下禁用)
默认情况下,系统以修改时间作为展示。
重点排查目录:
-
Web目录
-
开机自启目录
-
临时文件目录

1.4.1 Everything搜索工具
推荐使用Everything进行文件快速搜索:
# 搜索语法示例:
*.exe dm:2023/7/6 # 查找2023年7月6日修改的exe文件
*.dll dc:2023/7/6 # 查找2023年7月6日创建的dll文件
*.tmp da:2023/7/6 # 查找2023年7月6日访问的tmp文件

Everything搜索语法:
| 语法 | 说明 | 示例 |
|---|---|---|
* |
通配符,匹配任意字符 | *.exe |
\| |
或搜索 | a \| b |
dm: |
修改日期 | dm:2023/7/6 |
dc: |
创建日期 | dc:2023/7/6 |
da: |
访问日期 | da:2023/7/6 |
更多搜索语法:https://www.voidtools.com/zh-cn/support/everything/searching/
1.5 最近打开文件分析
Windows系统中默认记录最近打开使用的文件信息,查看目录:
%UserProfile%\Recent
# Win+R运行此命令,查看当前用户最近打开的文件
C:\Users\asus\Recent
# 最近打开文件的物理路径

可以通过Windows的筛选条件查看具体时间范围的文件:

0x02 网络进程分析
2.1 可疑进程发现与关闭
计算机与外部网络通信是基于TCP或UDP协议的,每一次通信都具有不同的端口(0-65535)。如果计算机被植入木马,必定会与外部网络通信,此时可通过网络连接状态,找到对应的进程ID,然后结束进程。
2.1.1 查看网络连接
netstat -ano
# 查看所有网络连接和监听端口,-a显示所有连接 -n数字显示 -o显示进程ID

netstat -ano | findstr "ESTABLISHED"
# 查看已建立的网络连接(ESTABLISHED状态)
netstat -ano | findstr "LISTENING"
# 查看处于监听状态的端口
2.1.2 查找进程对应程序
需要管理员权限
微信的某些进程(如
Weixin.exe)是以 系统服务 或 高权限后台任务 的方式运行的,或者被 Windows 标记为 “受保护的系统进程”。普通用户权限的taskkill命令无法强制终止这类进程,因此会返回“拒绝访问”。
tasklist | findstr "PID"
# 根据进程ID查找对应的程序名称
tasklist /svc | findstr "3224"
# 查看具体PID进程对应的服务信息
wmic process where processid=PID get name,executablepath
# 获取进程的完整路径(PID替换为实际进程号)
2.1.3 结束可疑进程
taskkill /PID 进程ID /T /F
# 强制结束进程及其子进程(/T结束子进程 /F强制结束)
taskkill /IM 进程名.exe /F
# 按进程名强制结束进程
2.1.4 TCP连接状态说明
| 状态 | 说明 |
|---|---|
| LISTENING | 处于监听状态,端口开放等待连接 |
| ESTABLISHED | 已建立连接,正在通信 |
| FIN_WAIT_1 | 主动关闭连接,等待ACK确认 |
| FIN_WAIT_2 | 等待对方关闭连接 |
| TIME_WAIT | 连接已结束,等待2MSL后完全关闭 |
| CLOSING | 等待远程TCP确认中断 |
| CLOSED | 无连接状态 |

0x03 系统分析
3.1 Windows计划任务
通过设定计划任务,在固定时间执行固定操作。恶意代码也可能会在固定时间设置执行。
3.1.1 计划任务命令
schtasks
# 查看所有计划任务
schtasks | findstr "可疑任务名"
# 搜索特定的计划任务
schtasks /Create /TN TestService1 /SC DAILY /ST 00:17 /TR calc.exe
# 创建计划任务示例:每天00:17执行calc.exe
schtasks /Delete /TN 任务名称 /F
# 删除指定的计划任务(/F强制删除)
schtasks /Query /TN 任务名称 /XML
# 查看特定任务的详细XML配置

3.1.2 图形化管理
taskschd.msc
# 打开任务计划程序可视化界面

3.2 隐藏账号发现与删除
3.2.1 查看系统用户
net user
# 查看当前系统所有用户

3.2.2 隐藏用户
隐藏用户:在用户名末尾添加
$符号即可隐藏
net user test$ Admin@123! /add
# 添加一个名为test$的隐藏用户(net user命令不显示以$结尾的用户)

lusrmgr.msc
# 打开本地用户和组管理,可以查看隐藏用户(以$结尾的用户)

3.2.3 通过注册表查看用户(最准确)
所有用户信息都存储在注册表中,即使 lusrmgr.msc 也查不到的隐藏账号,在注册表中也能看到。
路径:
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names
注意:默认情况下,
SAM子项无法展开,需要右键 → 权限 → 赋予管理员完全控制权限。

3.2.4 创建超级隐藏账号(攻击者手法)
# 1. 创建隐藏用户
net user test$ Admin@123! /add
# 2. 添加到管理员组
net localgroup administrators test$ /add
# 3. 导出注册表
# 导出test$用户注册表项和对应的F值
# 4. 删除用户
net user test$ /del
# 5. 导入注册表
# 导入之前导出的.reg文件,用户恢复但不在常规列表中显示

结论:排查账号不能仅依赖
net user命令,必须在注册编辑表中排查才能发现所有隐藏账号。
3.2.5 删除隐藏账号
net user 用户名 /del
# 删除用户
3.3 补丁查看与更新
Windows系统支持补丁修复漏洞。
3.3.1 查看系统补丁信息
systeminfo
# 查看系统详细信息,包括安装的补丁列表
systeminfo | findstr "KB"
# 仅查看已安装的补丁(KB编号)
wmic qfe list
# 查看已安装的更新(另一种方法)
Get-HotFix
# PowerShell命令查看已安装的补丁

3.3.2 图形化查看
控制面板 → 程序 → 程序和功能 → 查看已安装的更新

0x04 网站WebShell查杀
4.1 D盾
D盾是为IIS设计的一个主动防御保护软件,以内外保护方式防止网站和服务器被入侵,限制常见的入侵方法。
# D盾可以查杀:
- ASP木马
- PHP木马
- 其他Webshell
- 可检测克隆账号
下载地址: http://www.d99net.net/

使用方法:
-
选择Web目录
-
点击扫描
-
右键定位可疑文件
-
删除后再次扫描确认
4.2 Web日志分析——360星图
360星图是一款Web日志分析工具,用于分析网站访问日志,识别攻击行为。
下载地址: http://www.xz7.com/downinfo/104347.html
4.2.1 配置与使用
-
打开
/conf/config.ini,配置日志路径:
log_file: D:\weblog\access.log
-
运行
start.bat自动处理日志 -
分析结果生成在
result目录
日志文件类型支持:
-
IIS日志
-
Apache日志
-
Nginx日志
4.2.2 分析报告内容
360星图可生成以下分析:
-
Web攻击分析(SQL注入、XSS、文件包含等)
-
日常访问分析
-
攻击IP分布
-
CC攻击检测
-
攻击时间序列


0x05 Windows日志分析
5.1 日志分类
5.1.1 系统日志
包含Windows系统组件记录的事件,如启动过程中加载驱动程序失败等。
C:\Windows\System32\winevt\Logs\System.evtx
# 系统日志文件路径
5.1.2 应用程序日志
包含由应用程序或系统程序记录的事件,主要记录程序运行方面事件。
C:\Windows\System32\winevt\Logs\Application.evtx
# 应用程序日志文件路径
5.1.3 安全日志
记录系统的安全审计事件,包含各类登录日志、对象访问日志、进程追踪日志等,是调查取证中最常用的日志。
C:\Windows\System32\winevt\Logs\Security.evtx
# 安全日志文件路径
5.2 日志查看
eventvwr.msc
# 打开事件查看器

5.3 启用审核策略(推荐配置)
Windows系统默认不会记录所有安全事件,建议启用审核策略:
-
开始 → 管理工具 → 本地安全策略
-
本地策略 → 审核策略
-
启用相关审核项(登录事件、账户管理等)
设置合理的日志属性(日志最大大小、事件覆盖阈值等)。
5.4 安全日志事件ID
5.4.1 常见事件ID
| 事件ID(旧) | 事件ID(新) | 描述 | 日志类型 |
|---|---|---|---|
| 528 | 4624 | 成功登录 | Security |
| 529 | 4625 | 失败登录 | Security |
| 680 | 4776 | 成功/失败的账户认证 | Security |
| 624 | 4720 | 创建用户 | Security |
| 636 | 4732 | 添加用户到本地组 | Security |
| 632 | 4728 | 添加用户到全局组 | Security |
| 2934 | 7030 | 服务创建错误 | System |
| 2944 | 7040 | 服务启动类型变更 | System |
| 2949 | 7045 | 服务创建 | System |
| 4722 | 4722 | 用户启用 | Security |
| 4725 | 4725 | 用户禁用 | Security |
| 4726 | 4726 | 用户删除 | Security |
| 4738 | 4738 | 用户密码修改 | Security |
| 4768 | 4768 | Kerberos认证(域环境) | Security |
| 4776 | 4776 | 域控制器认证 | Security |
| 4688 | 4688 | 进程创建 | Security |
| 4689 | 4689 | 进程结束 | Security |
5.4.2 参考资源
更多事件ID解释:
-
https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx
-
https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/
5.5 登录类型ID
| 登录类型 | 说明 | 典型场景 |
|---|---|---|
| 2 | Interactive(交互式登录) | 本地控制台登录、PSEXEC、KVM登录 |
| 3 | Network(网络登录) | 网络共享、net use、IPC、WMIC、WinRM |
| 4 | Batch(批处理登录) | 计划任务运行 |
| 5 | Service(服务登录) | 系统服务启动 |
| 7 | Unlock(解锁) | 工作站解锁 |
| 8 | NetworkCleartext(明文网络登录) | IIS基本认证 |
| 9 | NewCredentials(新凭据) | runas /netonly |
| 10 | RemoteInteractive(远程交互式登录) | RDP远程桌面、终端服务 |
| 11 | CachedInteractive(缓存交互式登录) | 域控不可达时的缓存登录 |
| 12 | CachedRemoteInteractive(缓存远程交互式) | 远程缓存的交互式登录 |
| 13 | CachedUnlock(缓存解锁) | 缓存的解锁 |
5.6 日志分析技巧
5.6.1 暴力破解分析思路
-
筛选登录失败事件(4625):
-
确认某一时间段登录失败次数是否过多
-
检查失败事件的时间间隔是否均匀(自动化工具特征)
-
-
筛选登录成功事件(4624):
-
查找暴力破解成功的时间点
-
确认登录IP是否来自攻击者
-
-
关键判断:
-
如果存在大量失败+成功登录,说明密码被破解成功
-
如果仅有大量失败,说明攻击未成功
-
5.7 日志分析工具
5.7.1 Log Parser
Log Parser是微软出品的日志分析工具,支持SQL语法查询各种日志格式。
下载: https://www.microsoft.com/en-us/download/details.aspx?id=24659
基本语法:
LogParser.exe -i:EVT -o:DATAGRID "SELECT * FROM Security.evtx"
# 查询安全日志文件内容
LogParser.exe -i:EVT -o:DATAGRID "SELECT * FROM Security.evtx WHERE EventID=4624"
# 查询所有登录成功事件
LogParser.exe -i:EVT -o:DATAGRID "SELECT * FROM Security.evtx WHERE TimeGenerated>'2018-06-19 23:32:11' AND TimeGenerated < '2023-08-22 23:34:00' AND EventID=4624"
# 指定时间范围的登录成功事件
LogParser.exe -i:EVT -o:DATAGRID "SELECT EXTRACT_TOKEN(Message,13,' ') as EventType, TimeGenerated as LoginTime, EXTRACT_TOKEN(Strings,5,'|') as Username, EXTRACT_TOKEN(Message,38,' ') as LoginIP FROM Security.evtx WHERE EventID=4624"
# 提取登录成功的用户名和IP
LogParser.exe -i:EVT -o:DATAGRID "SELECT * FROM Security.evtx WHERE EventID=4625"
# 查询所有登录失败事件
更多使用示例:https://mlichtenberg.wordpress.com/2011/02/03/log-parser-rocks-morethan-50-examples/
5.7.2 Logon工具
需要提前安装Log Parser工具。
安装参考: https://zhuanlan.zhihu.com/p/57092216
5.7.3 SharpEventLog
SharpEventLog.exe -4624 # 查询登录成功事件
SharpEventLog.exe -4625 # 查询登录失败事件
0x06 应急响应工具
6.1 进程与内核分析
| 工具 | 用途 | 下载地址 |
|---|---|---|
| PCHunter | 进程/内核模块/驱动分析 | http://www.xuetr.com/ |
| 火绒剑 | 进程监控/行为分析 | https://www.onlinedown.net/soft/10053617.htm |
| Process Explorer | 进程详细分析 | https://learn.microsoft.com/zh-cn/sysinternals/downloads/process-explorer |
| Process Hacker | 进程/服务/网络分析 | https://processhacker.sourceforge.io/downloads.php |
| Autoruns | 开机启动项全面分析 | https://learn.microsoft.com/zh-cn/sysinternals/downloads/autoruns |
| OTL | 系统扫描/日志收集 | https://www.bleepingcomputer.com/download/otl/ |
6.2 病毒查杀
| 工具 | 特点 | 下载地址 |
|---|---|---|
| 卡巴斯基KVRT | 绿色版,病毒库最新 | http://devbuilds.kasperskylabs.com/devbuilds/KVRT/latest/full/KVRT.exe |
| 大蜘蛛CureIt | 扫描快,一次下载有效期1周 | https://free.drweb.ru/download+cureit+free |
| 火绒安全软件 | 国产轻量级杀毒 | https://www.huorong.cn/ |
| 360杀毒 | 国产杀毒软件 | http://sd.360.cn/download_center.html |
6.3 病毒情报平台
| 平台 | 地址 |
|---|---|
| CVERC-国家计算机病毒应急处理中心 | https://www.cverc.org.cn/ |
| 微步在线威胁情报社区 | https://x.threatbook.com/ |
| 火绒安全论坛 | https://bbs.huorong.cn/forum-59-1.html |
| 爱毒霸社区 | https://www.ijinshan.com/keep.html |
| 腾讯电脑管家 | https://support.qq.com/product/415334 |
6.4 在线病毒扫描
| 平台 | 地址 |
|---|---|
| VirScan(多引擎) | https://www.virscan.org/ |
| 腾讯哈勃分析系统 | https://habo.qq.com/ |
| Jotti恶意软件扫描 | https://virusscan.jotti.org/ |
| ScanVir | http://www.scanvir.com/ |
6.5 WebShell查杀工具
| 工具 | 地址 |
|---|---|
| D盾_Web查杀 | http://www.d99net.net/index.asp |
| 河马webshell查杀 | http://www.shellpub.com/ |
| 深信服Webshell检测 | http://edr.sangfor.com.cn/backdoor_detection.html |
| Safe3 | http://www.uusec.com/webshell.zip |
6.6 信息收集工具
GetInfo:Windows系统信息收集工具
6.7 病毒动态监测
| 平台 | 地址 |
|---|---|
| 国家计算机病毒应急处理中心 | https://www.cverc.org.cn/ |
| 微步在线威胁情报 | https://x.threatbook.com/ |
| 火绒安全论坛 | https://bbs.huorong.cn/forum-59-1.html |
0x07 应急案例
7.1 挖矿木马应急响应
挖矿木马特征:
-
业务运行缓慢
-
CPU占用率异常飙升
-
内存占用率过高
-
磁盘空间被占满
-
服务器噪音增大
-
高温告警
挖矿木马排查要点:
-
查看CPU/内存占用率(
tasklist、任务管理器) -
排查可疑进程(随机名称进程)
-
分析网络外联(矿池IP和端口)
-
检查计划任务
-
检查开机启动项
-
检查
Temp目录
7.2 应急响应案例参考
-
应急响应笔记:https://blog.csdn.net/Vie0211/article/details/127228843
-
经典案例:https://wxiaoge.blog.csdn.net/article/details/123897920
挖矿木马靶场:
链接:https://pan.baidu.com/share/init?surl=2CvNEtdbwcv6hHdv0HOhfg
提取码:2626
账户:Administrator
密码:Admin@123!
总结
Windows应急响应核心排查思路
| 步骤 | 排查内容 | 关键命令/工具 |
|---|---|---|
| 1. 信息收集 | 系统信息、用户、网络、进程 | systeminfo、net user、netstat -ano、tasklist |
| 2. 启动项排查 | 开机自启、计划任务、服务 | msconfig、regedit、taskschd.msc、services.msc |
| 3. 文件分析 | Temp临时目录、最近文件、Web目录 | %temp%、%UserProfile%\Recent |
| 4. 日志分析 | 安全日志、系统日志、Web日志 | eventvwr.msc、Log Parser、360星图 |
| 5. 进程网络分析 | 可疑进程、异常外联 | taskkill、netstat、Process Explorer |
| 6. 账号安全 | 隐藏账号、克隆账号 | lusrmgr.msc、注册表SAM |
| 7. Webshell查杀 | Web后门查杀 | D盾、河马 |
| 8. 病毒查杀 | Rootkit/木马查杀 | PCHunter、火绒剑、卡巴斯基KVRT |
常用命令速查
| 命令 | 用途 |
|---|---|
systeminfo |
查看系统信息和补丁 |
net user |
查看所有用户 |
net localgroup administrators |
查看管理员组成员 |
netstat -ano |
查看所有网络连接 |
tasklist |
查看所有进程 |
taskkill /PID XXX /F |
强制结束进程 |
schtasks |
查看计划任务 |
services.msc |
查看服务 |
eventvwr.msc |
查看事件日志 |
regedit |
注册表编辑器 |
lusrmgr.msc |
本地用户和组管理 |
msconfig |
系统配置 |
面试常问考点
-
应急响应流程(PDCERF)是什么?
-
准备、检测、抑制、根除、恢复、跟踪
-
-
常见的入侵排查步骤?
-
账号安全、进程网络、启动项计划任务、日志分析、文件分析
-
-
如何发现隐藏账号?
-
lusrmgr.msc查看以$结尾的用户,注册表SAM路径查看
-
-
安全日志中4624和4625分别代表什么?
-
4624=登录成功,4625=登录失败
-
-
如何判断服务器是否被暴力破解?
-
大量4625失败事件 + 后续4624成功事件
-
-
Webshell如何查杀?
-
D盾、河马等工具查杀
-
-
挖矿病毒的特征是什么?
-
CPU占用率高,存在矿池外联IP
-
安全加固建议
-
账号安全:禁用Guest账号,删除无用账户,限制管理员组用户
-
密码策略:设置复杂密码(长度≥8位,含数字、大小写、特殊字符)
-
日志审计:启用审核策略,增大日志容量,定期备份日志
-
补丁更新:定期更新系统补丁,及时修复已知漏洞
-
服务最小化:关闭不必要的服务,减少攻击面
-
权限最小化:遵循最小权限原则,限制用户权限
-
网络防护:部署防火墙、IDS/IPS,限制管理端口暴露
-
定期备份

浙公网安备 33010602011771号