Windows 应急响应

 

Windows 应急响应

image-20260709152917746

0x00 应急响应流程(PDCERF)

  1. P(Preparation,准备):准备阶段,组建应急响应团队,准备工具和文档

  2. D(Detection,检测):检测阶段,确认安全事件是否发生,收集初步信息

  3. C(Containment,抑制):抑制阶段,限制事件影响范围,防止进一步扩散 (微隔离)

  4. E(Eradication,根除):根除阶段,清除恶意代码、后门,修复漏洞

  5. R(Recovery,恢复):恢复阶段,恢复系统正常运行,验证业务完整性

  6. F(Follow-up,跟踪):跟踪阶段,总结复盘,输出报告,加固防御

0x01 文件分析

1.1 开机启动文件

一般情况下,各种木马病毒等恶意程序,都会在计算机开启的过程中自动启动。Windows系统中可以通过以下方式查看开机启动项:

1.1.1 启动菜单栏

 C:\Users\asus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
 # 当前用户的启动目录,放入此目录的程序会在用户登录时自动运行
 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
 # 所有用户的公共启动目录,放入此目录的程序会在任何用户登录时自动运行

1.1.2 系统配置(msconfig)

 msconfig
 # 打开系统配置工具,在"启动"选项卡中可管理启动项(Windows 10/11会跳转到任务管理器)

1.1.3 注册表启动项

 regedit
 # 打开注册表编辑器,查看和编辑启动项

常见启动项注册表路径:

 计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 # 系统级开机启动项,所有用户登录时都会执行
 计算机\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 # 当前用户级开机启动项,仅当前用户登录时执行
 计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
 # 系统级一次性启动项,执行一次后自动删除
 计算机\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
 # 当前用户级一次性启动项,执行一次后自动删除

说明:在注册表中新建启动项,在 msconfig 中可以看到,但在启动文件夹中不显示。

1.1.4 组策略启动脚本

 gpedit.msc
 # 打开本地组策略编辑器,可配置计算机启动/关机脚本和用户登录/注销脚本

组策略启动脚本路径:

  • 计算机配置 → Windows设置 → 脚本(启动/关机)

  • 用户配置 → Windows设置 → 脚本(登录/注销)

1.1.5 服务与计划任务

 services.msc
 # 打开服务管理器,查看所有系统服务,重点关注启动类型为"自动"的可疑服务
 taskschd.msc
 # 打开任务计划程序,查看所有计划任务

1.2 Temp临时异常文件

Temp(临时文件夹)位于 C:\Users\用户名\AppData\Local\Temp,很多临时文件会放到这里,用于收藏文件、浏览网页时的临时文件、编辑文件等。

 %temp%
 # Win+R运行此命令即可打开临时文件夹

Temp文件夹排查要点:

  1. Temp特殊性:

    • Temp文件夹位于RAM Disk上,写入操作和文件操作速度很快

    • Temp文件夹对当前登录用户具有完全控制权限(读写访问)

    • 恶意程序在传播时一定可以向Temp文件夹写入文件

  2. 重点关注文件类型:

    • PE文件(.exe.dll.sys.msi

    • 特别大的TMP文件

    • 常见工具名称(fscanmsscanfrpmimikatz等)

PE文件:Windows系统中可执行的文件类型,不仅限于 .exe 文件。

  1. 文件在线查杀:

 https://www.virustotal.com/    # 国外在线病毒扫描网站
 https://www.virscan.org/        # 国内在线病毒扫描网站
 https://habo.qq.com/            # 腾讯哈勃分析系统

沙箱:

沙箱(Sandbox)是一种安全隔离机制,它为运行中的程序创建一个独立的、受限的执行环境,防止恶意代码或不可信程序对系统造成破坏或窃取敏感数据。

  • 盒子与外界是隔离的,程序无法访问盒外的系统资源

  • 即使程序是恶意的,破坏也仅限于盒子内部,不会影响整个系统

1.3 浏览器信息分析

在被黑客拿下的服务器上,黑客可能会使用浏览器访问网站,因此可以查看浏览器记录,探索是否被用于下载恶意代码。

IE浏览器查看历史记录: 工具 → 浏览器栏 → 历史记录和下载的内容

重点搜索关键词:

  • ChromeFirefox 浏览器下载记录

  • XshellSecureCRT 等远程连接工具

  • 向日葵ToDeskTeamViewer 等远程协助工具(低版本向日葵无感控制 )

  • WeChatQQ 等通讯工具

1.4 文件时间属性分析

在Windows系统中,文件属性具有三个时间属性:

  • 创建时间(Creation Time)

  • 修改时间(Modified Time)

  • 访问时间(Access Time,默认情况下禁用)

默认情况下,系统以修改时间作为展示。

重点排查目录:

  • Web目录

  • 开机自启目录

  • 临时文件目录

1.4.1 Everything搜索工具

推荐使用Everything进行文件快速搜索:

 # 搜索语法示例:
 *.exe dm:2023/7/6              # 查找2023年7月6日修改的exe文件
 *.dll dc:2023/7/6              # 查找2023年7月6日创建的dll文件
 *.tmp da:2023/7/6              # 查找2023年7月6日访问的tmp文件

Everything搜索语法:

语法说明示例
* 通配符,匹配任意字符 *.exe
\| 或搜索 a \| b
dm: 修改日期 dm:2023/7/6
dc: 创建日期 dc:2023/7/6
da: 访问日期 da:2023/7/6

更多搜索语法:https://www.voidtools.com/zh-cn/support/everything/searching/

1.5 最近打开文件分析

Windows系统中默认记录最近打开使用的文件信息,查看目录:

 %UserProfile%\Recent
 # Win+R运行此命令,查看当前用户最近打开的文件
 C:\Users\asus\Recent
 # 最近打开文件的物理路径

可以通过Windows的筛选条件查看具体时间范围的文件:

0x02 网络进程分析

2.1 可疑进程发现与关闭

计算机与外部网络通信是基于TCP或UDP协议的,每一次通信都具有不同的端口(0-65535)。如果计算机被植入木马,必定会与外部网络通信,此时可通过网络连接状态,找到对应的进程ID,然后结束进程。

2.1.1 查看网络连接

netstat -ano
# 查看所有网络连接和监听端口,-a显示所有连接 -n数字显示 -o显示进程ID

netstat -ano | findstr "ESTABLISHED"
# 查看已建立的网络连接(ESTABLISHED状态)
netstat -ano | findstr "LISTENING"
# 查看处于监听状态的端口

2.1.2 查找进程对应程序

需要管理员权限

微信的某些进程(如 Weixin.exe)是以 系统服务高权限后台任务 的方式运行的,或者被 Windows 标记为 “受保护的系统进程”。普通用户权限的 taskkill 命令无法强制终止这类进程,因此会返回“拒绝访问”。

tasklist | findstr "PID"
# 根据进程ID查找对应的程序名称
tasklist /svc | findstr "3224"
# 查看具体PID进程对应的服务信息
wmic process where processid=PID get name,executablepath
# 获取进程的完整路径(PID替换为实际进程号)

2.1.3 结束可疑进程

taskkill /PID 进程ID /T /F
# 强制结束进程及其子进程(/T结束子进程 /F强制结束)
taskkill /IM 进程名.exe /F
# 按进程名强制结束进程

2.1.4 TCP连接状态说明

状态说明
LISTENING 处于监听状态,端口开放等待连接
ESTABLISHED 已建立连接,正在通信
FIN_WAIT_1 主动关闭连接,等待ACK确认
FIN_WAIT_2 等待对方关闭连接
TIME_WAIT 连接已结束,等待2MSL后完全关闭
CLOSING 等待远程TCP确认中断
CLOSED 无连接状态

0x03 系统分析

3.1 Windows计划任务

通过设定计划任务,在固定时间执行固定操作。恶意代码也可能会在固定时间设置执行。

3.1.1 计划任务命令

schtasks
# 查看所有计划任务
schtasks | findstr "可疑任务名"
# 搜索特定的计划任务
schtasks /Create /TN TestService1 /SC DAILY /ST 00:17 /TR calc.exe
# 创建计划任务示例:每天00:17执行calc.exe
schtasks /Delete /TN 任务名称 /F
# 删除指定的计划任务(/F强制删除)
schtasks /Query /TN 任务名称 /XML
# 查看特定任务的详细XML配置

3.1.2 图形化管理

taskschd.msc
# 打开任务计划程序可视化界面

3.2 隐藏账号发现与删除

3.2.1 查看系统用户

net user
# 查看当前系统所有用户

3.2.2 隐藏用户

隐藏用户:在用户名末尾添加 $ 符号即可隐藏

net user test$ Admin@123! /add
# 添加一个名为test$的隐藏用户(net user命令不显示以$结尾的用户)

lusrmgr.msc
# 打开本地用户和组管理,可以查看隐藏用户(以$结尾的用户)

3.2.3 通过注册表查看用户(最准确)

所有用户信息都存储在注册表中,即使 lusrmgr.msc 也查不到的隐藏账号,在注册表中也能看到。

路径:

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names

注意:默认情况下,SAM 子项无法展开,需要右键 → 权限 → 赋予管理员完全控制权限。

3.2.4 创建超级隐藏账号(攻击者手法)

# 1. 创建隐藏用户
net user test$ Admin@123! /add

# 2. 添加到管理员组
net localgroup administrators test$ /add

# 3. 导出注册表
# 导出test$用户注册表项和对应的F值

# 4. 删除用户
net user test$ /del

# 5. 导入注册表
# 导入之前导出的.reg文件,用户恢复但不在常规列表中显示

结论:排查账号不能仅依赖 net user 命令,必须在注册编辑表中排查才能发现所有隐藏账号。

3.2.5 删除隐藏账号

net user 用户名 /del
# 删除用户

3.3 补丁查看与更新

Windows系统支持补丁修复漏洞。

3.3.1 查看系统补丁信息

systeminfo
# 查看系统详细信息,包括安装的补丁列表
systeminfo | findstr "KB"
# 仅查看已安装的补丁(KB编号)
wmic qfe list
# 查看已安装的更新(另一种方法)
Get-HotFix
# PowerShell命令查看已安装的补丁

3.3.2 图形化查看

控制面板 → 程序 → 程序和功能 → 查看已安装的更新

0x04 网站WebShell查杀

4.1 D盾

D盾是为IIS设计的一个主动防御保护软件,以内外保护方式防止网站和服务器被入侵,限制常见的入侵方法。

# D盾可以查杀:
- ASP木马
- PHP木马
- 其他Webshell
- 可检测克隆账号

下载地址: http://www.d99net.net/

使用方法:

  1. 选择Web目录

  2. 点击扫描

  3. 右键定位可疑文件

  4. 删除后再次扫描确认

4.2 Web日志分析——360星图

360星图是一款Web日志分析工具,用于分析网站访问日志,识别攻击行为。

下载地址: http://www.xz7.com/downinfo/104347.html

4.2.1 配置与使用

  1. 打开 /conf/config.ini,配置日志路径:

log_file: D:\weblog\access.log
  1. 运行 start.bat 自动处理日志

  2. 分析结果生成在 result 目录

日志文件类型支持:

  • IIS日志

  • Apache日志

  • Nginx日志

4.2.2 分析报告内容

360星图可生成以下分析:

  • Web攻击分析(SQL注入、XSS、文件包含等)

  • 日常访问分析

  • 攻击IP分布

  • CC攻击检测

  • 攻击时间序列

0x05 Windows日志分析

5.1 日志分类

5.1.1 系统日志

包含Windows系统组件记录的事件,如启动过程中加载驱动程序失败等。

C:\Windows\System32\winevt\Logs\System.evtx
# 系统日志文件路径

5.1.2 应用程序日志

包含由应用程序或系统程序记录的事件,主要记录程序运行方面事件。

C:\Windows\System32\winevt\Logs\Application.evtx
# 应用程序日志文件路径

5.1.3 安全日志

记录系统的安全审计事件,包含各类登录日志、对象访问日志、进程追踪日志等,是调查取证中最常用的日志。

C:\Windows\System32\winevt\Logs\Security.evtx
# 安全日志文件路径

5.2 日志查看

eventvwr.msc
# 打开事件查看器

5.3 启用审核策略(推荐配置)

Windows系统默认不会记录所有安全事件,建议启用审核策略:

  1. 开始 → 管理工具 → 本地安全策略

  2. 本地策略 → 审核策略

  3. 启用相关审核项(登录事件、账户管理等)

设置合理的日志属性(日志最大大小、事件覆盖阈值等)。

5.4 安全日志事件ID

5.4.1 常见事件ID

事件ID(旧)事件ID(新)描述日志类型
528 4624 成功登录 Security
529 4625 失败登录 Security
680 4776 成功/失败的账户认证 Security
624 4720 创建用户 Security
636 4732 添加用户到本地组 Security
632 4728 添加用户到全局组 Security
2934 7030 服务创建错误 System
2944 7040 服务启动类型变更 System
2949 7045 服务创建 System
4722 4722 用户启用 Security
4725 4725 用户禁用 Security
4726 4726 用户删除 Security
4738 4738 用户密码修改 Security
4768 4768 Kerberos认证(域环境) Security
4776 4776 域控制器认证 Security
4688 4688 进程创建 Security
4689 4689 进程结束 Security

5.4.2 参考资源

更多事件ID解释:

5.5 登录类型ID

登录类型说明典型场景
2 Interactive(交互式登录) 本地控制台登录、PSEXEC、KVM登录
3 Network(网络登录) 网络共享、net use、IPC、WMIC、WinRM
4 Batch(批处理登录) 计划任务运行
5 Service(服务登录) 系统服务启动
7 Unlock(解锁) 工作站解锁
8 NetworkCleartext(明文网络登录) IIS基本认证
9 NewCredentials(新凭据) runas /netonly
10 RemoteInteractive(远程交互式登录) RDP远程桌面、终端服务
11 CachedInteractive(缓存交互式登录) 域控不可达时的缓存登录
12 CachedRemoteInteractive(缓存远程交互式) 远程缓存的交互式登录
13 CachedUnlock(缓存解锁) 缓存的解锁

5.6 日志分析技巧

5.6.1 暴力破解分析思路

  1. 筛选登录失败事件(4625)

    • 确认某一时间段登录失败次数是否过多

    • 检查失败事件的时间间隔是否均匀(自动化工具特征)

  2. 筛选登录成功事件(4624)

    • 查找暴力破解成功的时间点

    • 确认登录IP是否来自攻击者

  3. 关键判断

    • 如果存在大量失败+成功登录,说明密码被破解成功

    • 如果仅有大量失败,说明攻击未成功

5.7 日志分析工具

5.7.1 Log Parser

Log Parser是微软出品的日志分析工具,支持SQL语法查询各种日志格式。

下载: https://www.microsoft.com/en-us/download/details.aspx?id=24659

基本语法:

LogParser.exe -i:EVT -o:DATAGRID "SELECT * FROM Security.evtx"
# 查询安全日志文件内容
LogParser.exe -i:EVT -o:DATAGRID "SELECT * FROM Security.evtx WHERE EventID=4624"
# 查询所有登录成功事件
LogParser.exe -i:EVT -o:DATAGRID "SELECT * FROM Security.evtx WHERE TimeGenerated>'2018-06-19 23:32:11' AND TimeGenerated < '2023-08-22 23:34:00' AND EventID=4624"
# 指定时间范围的登录成功事件
LogParser.exe -i:EVT -o:DATAGRID "SELECT EXTRACT_TOKEN(Message,13,' ') as EventType, TimeGenerated as LoginTime, EXTRACT_TOKEN(Strings,5,'|') as Username, EXTRACT_TOKEN(Message,38,' ') as LoginIP FROM Security.evtx WHERE EventID=4624"
# 提取登录成功的用户名和IP
LogParser.exe -i:EVT -o:DATAGRID "SELECT * FROM Security.evtx WHERE EventID=4625"
# 查询所有登录失败事件

更多使用示例:https://mlichtenberg.wordpress.com/2011/02/03/log-parser-rocks-morethan-50-examples/

5.7.2 Logon工具

需要提前安装Log Parser工具。

安装参考: https://zhuanlan.zhihu.com/p/57092216

5.7.3 SharpEventLog

SharpEventLog.exe -4624    # 查询登录成功事件
SharpEventLog.exe -4625 # 查询登录失败事件

0x06 应急响应工具

6.1 进程与内核分析

工具用途下载地址
PCHunter 进程/内核模块/驱动分析 http://www.xuetr.com/
火绒剑 进程监控/行为分析 https://www.onlinedown.net/soft/10053617.htm
Process Explorer 进程详细分析 https://learn.microsoft.com/zh-cn/sysinternals/downloads/process-explorer
Process Hacker 进程/服务/网络分析 https://processhacker.sourceforge.io/downloads.php
Autoruns 开机启动项全面分析 https://learn.microsoft.com/zh-cn/sysinternals/downloads/autoruns
OTL 系统扫描/日志收集 https://www.bleepingcomputer.com/download/otl/

6.2 病毒查杀

工具特点下载地址
卡巴斯基KVRT 绿色版,病毒库最新 http://devbuilds.kasperskylabs.com/devbuilds/KVRT/latest/full/KVRT.exe
大蜘蛛CureIt 扫描快,一次下载有效期1周 https://free.drweb.ru/download+cureit+free
火绒安全软件 国产轻量级杀毒 https://www.huorong.cn/
360杀毒 国产杀毒软件 http://sd.360.cn/download_center.html

6.3 病毒情报平台

平台地址
CVERC-国家计算机病毒应急处理中心 https://www.cverc.org.cn/
微步在线威胁情报社区 https://x.threatbook.com/
火绒安全论坛 https://bbs.huorong.cn/forum-59-1.html
爱毒霸社区 https://www.ijinshan.com/keep.html
腾讯电脑管家 https://support.qq.com/product/415334

6.4 在线病毒扫描

平台地址
VirScan(多引擎) https://www.virscan.org/
腾讯哈勃分析系统 https://habo.qq.com/
Jotti恶意软件扫描 https://virusscan.jotti.org/
ScanVir http://www.scanvir.com/

6.5 WebShell查杀工具

工具地址
D盾_Web查杀 http://www.d99net.net/index.asp
河马webshell查杀 http://www.shellpub.com/
深信服Webshell检测 http://edr.sangfor.com.cn/backdoor_detection.html
Safe3 http://www.uusec.com/webshell.zip

6.6 信息收集工具

GetInfo:Windows系统信息收集工具

6.7 病毒动态监测

平台地址
国家计算机病毒应急处理中心 https://www.cverc.org.cn/
微步在线威胁情报 https://x.threatbook.com/
火绒安全论坛 https://bbs.huorong.cn/forum-59-1.html

0x07 应急案例

7.1 挖矿木马应急响应

挖矿木马特征:

  • 业务运行缓慢

  • CPU占用率异常飙升

  • 内存占用率过高

  • 磁盘空间被占满

  • 服务器噪音增大

  • 高温告警

挖矿木马排查要点:

  1. 查看CPU/内存占用率(tasklist任务管理器

  2. 排查可疑进程(随机名称进程)

  3. 分析网络外联(矿池IP和端口)

  4. 检查计划任务

  5. 检查开机启动项

  6. 检查Temp目录

7.2 应急响应案例参考

挖矿木马靶场:

链接:https://pan.baidu.com/share/init?surl=2CvNEtdbwcv6hHdv0HOhfg
提取码:2626
账户:Administrator
密码:Admin@123!

总结

Windows应急响应核心排查思路

步骤排查内容关键命令/工具
1. 信息收集 系统信息、用户、网络、进程 systeminfonet usernetstat -anotasklist
2. 启动项排查 开机自启、计划任务、服务 msconfigregedittaskschd.mscservices.msc
3. 文件分析 Temp临时目录、最近文件、Web目录 %temp%%UserProfile%\Recent
4. 日志分析 安全日志、系统日志、Web日志 eventvwr.msc、Log Parser、360星图
5. 进程网络分析 可疑进程、异常外联 taskkillnetstat、Process Explorer
6. 账号安全 隐藏账号、克隆账号 lusrmgr.msc、注册表SAM
7. Webshell查杀 Web后门查杀 D盾、河马
8. 病毒查杀 Rootkit/木马查杀 PCHunter、火绒剑、卡巴斯基KVRT

常用命令速查

命令用途
systeminfo 查看系统信息和补丁
net user 查看所有用户
net localgroup administrators 查看管理员组成员
netstat -ano 查看所有网络连接
tasklist 查看所有进程
taskkill /PID XXX /F 强制结束进程
schtasks 查看计划任务
services.msc 查看服务
eventvwr.msc 查看事件日志
regedit 注册表编辑器
lusrmgr.msc 本地用户和组管理
msconfig 系统配置

面试常问考点

  1. 应急响应流程(PDCERF)是什么?

    • 准备、检测、抑制、根除、恢复、跟踪

  2. 常见的入侵排查步骤?

    • 账号安全、进程网络、启动项计划任务、日志分析、文件分析

  3. 如何发现隐藏账号?

    • lusrmgr.msc 查看以 $ 结尾的用户,注册表 SAM 路径查看

  4. 安全日志中4624和4625分别代表什么?

    • 4624=登录成功,4625=登录失败

  5. 如何判断服务器是否被暴力破解?

    • 大量4625失败事件 + 后续4624成功事件

  6. Webshell如何查杀?

    • D盾、河马等工具查杀

  7. 挖矿病毒的特征是什么?

    • CPU占用率高,存在矿池外联IP

安全加固建议

  1. 账号安全:禁用Guest账号,删除无用账户,限制管理员组用户

  2. 密码策略:设置复杂密码(长度≥8位,含数字、大小写、特殊字符)

  3. 日志审计:启用审核策略,增大日志容量,定期备份日志

  4. 补丁更新:定期更新系统补丁,及时修复已知漏洞

  5. 服务最小化:关闭不必要的服务,减少攻击面

  6. 权限最小化:遵循最小权限原则,限制用户权限

  7. 网络防护:部署防火墙、IDS/IPS,限制管理端口暴露

  8. 定期备份:定期备份重要数据和系统配置

posted @ 2026-07-11 14:34  月初吖  阅读(10)  评论(0)    收藏  举报