Windows应急响应排查手册
Windows应急响应排查手册
概述
Windows是企业环境中最常用的操作系统,也是攻击者的主要目标。掌握Windows应急响应排查技能,能够快速定位恶意程序、后门和异常行为,是蓝队工程师的必备能力。
异常进程排查
查看可疑进程
使用任务管理器或命令行工具排查:
tasklist /v查看所有进程详细信息wmic process get name,processid,parentprocessid,commandline查看进程命令行- 关注没有签名的进程、路径异常的进程、父子关系异常的进程
常见恶意进程特征
- 进程名模仿系统进程(如 svch0st.exe 少一个r)
- 路径在 Temp、AppData 等非常规目录
- 父子关系异常(如 cmd.exe 的父进程是 Word)
启动项排查
常见持久化位置
- 注册表启动项:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - 启动文件夹:
C:\Users\用户名\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup - 服务:
sc query查看所有服务,关注自动启动的异常服务
计划任务排查
schtasks /query /fo LIST /v关注最近创建的、执行可疑命令的计划任务。
注册表排查
重点关注以下注册表位置:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run— 自启动项HKLM\SYSTEM\CurrentControlSet\Services— 系统服务HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders— Shell文件夹
网络连接排查
netstat -ano | findstr ESTABLISHED关注外连到异常IP的连接,特别是高危端口(如4444、5555等常用后门端口)。
总结
Windows应急响应排查需要系统性地检查进程、启动项、计划任务、注册表和网络连接。建议平时维护一份"干净系统"的基线,排查时有对照参考。