windows应急响应笔记

一 检查异常端口、进程

1. 排查可疑端口

（1）netstat命令

• netstat -ano #查看所有网络连接及其PID
• netstat -ano | findstr 443 #过滤特定端口的网络连接
• netstat -ano | findstr TCP #过滤TCP连接

（2）第三方工具，如D盾，火绒剑。

2. 排查可疑进程

（1）tasklist命令

• tasklist /svc
• tasklist /svc | findstr 111 #查看PID为111的进程
• taskkill /PID 111 -F -T #强制结束进程

根据PID获得运行程序的路径及程序名

wmic process get name,executablepath,processid | findstr 87948

（2）msinfo32 工具

在桌面打开运行（可使用快捷键 win+R），输入 msinfo32 命令

依次点击 “软件环境 — 正在运行任务” 就可以查看到进程的详细信息，比如进程路径、进程ID、文件创建日期以及启动时间等。

（3）任务管理器

在桌面打开运行（可使用快捷键 win+R），输入 taskmgr 命令，点击 “详细信息”。

（4）第三方工具，如D盾，火绒剑。

在查看可疑的进程及其子进程时，可以重点观察以下内容：

• 没有签名验证信息的进程
• 没有描述信息的进程
• 进程的属主
• 进程的路径是否合法
• CPU 或内存资源占用长时间过高的进程

二 检查系统账号安全

（1）排查弱口令

尝试使用弱口令登录爆破或直接咨询管理员

（2）net user命令

net user #查看用户信息，但不能查看隐藏用户
net user Guest #查看用户的具体信息，如查看Guest的启用情况
net user xxx /del #删除可以用户

（3）lusrmgr.msc 工具

在桌面打开运行（可使用快捷键 win+R），输入 lusrmgr.msc 命令，可查看用户信息，可查看隐藏用户。

（4）注册表查看隐藏用户

regedit -- 》计算机\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users

需要使用Administrator权限赋权，赋权之后可查看用户信息，可查看隐藏用户。

（5）D盾工具

通过D盾web查杀工具进行检测，其中集成了对克隆账号、隐藏账号检测的功能。

三 检查启动项、计划任务和服务

（1）排查异常启动项

1. 单击【开始】>【所有程序】>【启动】，默认情况下此目录是一个空目录，确认是否有非业务程序在该目录下。

2. win+r，输入msconfig，点击启动查看启动项（win10是在任务管理器）

3. 在桌面打开运行（可使用快捷键 win+R），输入 regedit，打开注册表，查看开机启动项是否正常，特别注意如下三个注册表项

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

• 第一个是用户设置的启动项，删除不影响系统运行，一般查看的时候重点查看这里，因为这里是用户设置的。
• 第二个是系统设置的启动项，删除需谨慎，一般是第三方软件的驱动程序。
• 第三个启动项是很重要的，不能随便删除，会影响正常操作系统的正常运行。

5.gpedit.msc 查看组策略

6. msinfo32查看启动项

（2）排查计划任务

1. cmd命令查询，计划任务在windows7及之前版本的操作系统中使用at命令进行调用，在从windows8版本开始的操作系统中使用schtasks命令调用。

计划任务删除命令

at xxx /delete
schtasks /delete /tn xxx

2. 打开控制面板，在 系统与安全 中查看计划任务属性.

3.使用第三方工具，如火绒查看计划任务。

（3）排查服务自启动

使用services.msc或任务管理器查看服务项信息，注意服务状态和启动类型，检查是否有异常服务。

四 检查系统相关信息

（1）查看系统版本以及补丁信息

1. 使用 systeminfo 查看系统信息

2. 复制补丁编号，对比漏洞库，排查可能存在的漏洞。

https://i.hacking8.com/tiquan

（2）查看可疑目录及文件

1. 在桌面打开运行（可使用快捷键 win+R）输入 recent，分析最近打开的可疑文件。

2. 点击文件资源管理器，查找服务器内中的各个文件夹，将文件夹文件按时间进行排序，查找可疑文件，其中修改时间在创建时间之前的为可疑文件，也可以在搜索中搜索某一时间修改的文件。

3. 针对回收站、浏览器下载目录以及历史记录进行排查

4. 查看缓存文件，C盘一般在C:/Windows/Temp

（3）查看隐藏文件

在桌面打开运行（可使用快捷键 win+R），输入 control，进入控制面板，找到文件资源管理器选项，点击 查看 后，取消”隐藏受保护的操作系统文件“勾选，在隐藏文件和文件夹下面的单选选择显示隐藏的文件、文件夹和驱动器。

五 日志分析

（1）系统日志

1、在桌面打开运行（可使用快捷键 win+R），输入 eventvwr.msc

2、找到事件查看器，查看windows日志（包括应用程序、安全、Setup、系统、事件）

默认存放路径

NT/Win2000/XP/Server 2003
C:\WINDOWS\system32\config\SysEvent.Evt
Vista/Win7/Win8//Win10/Server 2008/Server 2012
C:\WINDOWS\system32\winevt\Logs\System.evtx

win10系统日志文件默认存放在

%SystemRoot%\System32\Winevt\Logs\下，该文件夹下全是Windows的各种事件日志文件。

记录操作系统组件产生的事件，主要包括驱动程序、系统组件和应用软件的崩溃以及数据。

对于Windows事件日志分析，不同的事件ID代表着不同的意义，摘录一些常见的安全事件的说明，一个登录的行为都会给挂上事件ID，比如：登录成功，登录失败也有自己对应的事件ID

成功登录的事件都会标记一个登录类型，不同登录类型代表不同的方式

可导出应用程序日志、安全日志、系统日志，利用 Log Parser 工具进行分析。

LogParser 的一些用法：

基本查询结构
Logparser.exe –i:EVT –o:DATAGRID "SELECT * FROM c:\xx.evtx"
查询登录成功的所有事件
LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM c:\Security.evtx where EventID=4624"
查询登录失败的所有事件
LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM c:\Security.evtx where EventID=4625"
查询系统历史开关机记录
LogParser.exe -i:EVT –o:DATAGRID "SELECT TimeGenerated,EventID,Message FROM c:\System.evtx where EventID=6005 or EventID=6006"

33

（2）WEB日志

1、找到中间件、应用、WAF的日志（包括但不限于IIS、Nginx、宝塔、网站等）

2、打包至本地进行分析，在编辑器中对关键字进行搜索

六 病毒分析查杀工具

（1）病毒分析

PCHunter：http://www.xuetr.com
火绒剑：https://www.huorong.cn
Process Explorer：https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer
processhacker：https://processhacker.sourceforge.io/downloads.php
autoruns：https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns
OTL：https://www.bleepingcomputer.com/download/otl/

（2）病毒查杀

卡巴斯基（推荐理由：绿色版、最新病毒库）：http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe 
大蜘蛛（推荐理由：扫描快、一次下载只能用1周，更新病毒库）：http://free.drweb.ru/download+cureit+free
火绒安全软件：https://www.huorong.cn
360杀毒：http://sd.360.cn/download_center.html

（3）病毒动态

CVERC-国家计算机病毒应急处理中心：http://www.cverc.org.cn
微步在线威胁情报社区：https://x.threatbook.cn
火绒安全论坛：http://bbs.huorong.cn/forum-59-1.html
爱毒霸社区：http://bbs.duba.net
腾讯电脑管家：http://bbs.guanjia.qq.com/forum-2-1.html

（4）在线病毒扫描网站

多引擎在线病毒扫描网 v1.02，当前支持 41 款杀毒引擎：
http://www.virscan.org
腾讯哈勃分析系统:
https://habo.qq.com
Jotti 恶意软件扫描系统:
https://virusscan.jotti.org 
针对计算机病毒、手机病毒、可疑文件等进行检测分析:
http://www.scanvir.com

（5）Webshell 查杀

D盾_Web查杀：
http://www.d99net.net/index.asp
河马 webshell 查杀：
http://www.shellpub.com
深信服 Webshell 网站后门检测工具：
http://edr.sangfor.com.cn/backdoor_detection.html
Safe3：
http://www.uusec.com/webshell.zip