Windows应急响应排查手册

约 3 分钟读完

Windows应急响应排查手册

概述

Windows是企业环境中最常用的操作系统,也是攻击者的主要目标。掌握Windows应急响应排查技能,能够快速定位恶意程序、后门和异常行为,是蓝队工程师的必备能力。

异常进程排查

查看可疑进程

使用任务管理器或命令行工具排查:

  • tasklist /v 查看所有进程详细信息
  • wmic process get name,processid,parentprocessid,commandline 查看进程命令行
  • 关注没有签名的进程、路径异常的进程、父子关系异常的进程

常见恶意进程特征

  • 进程名模仿系统进程(如 svch0st.exe 少一个r)
  • 路径在 Temp、AppData 等非常规目录
  • 父子关系异常(如 cmd.exe 的父进程是 Word)

启动项排查

常见持久化位置

  • 注册表启动项HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • 启动文件夹C:\Users\用户名\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
  • 服务sc query 查看所有服务,关注自动启动的异常服务

计划任务排查

schtasks /query /fo LIST /v

关注最近创建的、执行可疑命令的计划任务。

注册表排查

重点关注以下注册表位置:

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run — 自启动项
  • HKLM\SYSTEM\CurrentControlSet\Services — 系统服务
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders — Shell文件夹

网络连接排查

netstat -ano | findstr ESTABLISHED

关注外连到异常IP的连接,特别是高危端口(如4444、5555等常用后门端口)。

总结

Windows应急响应排查需要系统性地检查进程、启动项、计划任务、注册表和网络连接。建议平时维护一份"干净系统"的基线,排查时有对照参考。

← Windows服务器安全加固 Web日志分析实战 →