当怀疑 Windows 系统可能被入侵时,需要从多个方向进行排查,以发现攻击者的活动痕迹。以下是主要的排查方向及关键检查点:
检查是否有异常账户(如默认不存在的 admin$、backdoor 等)。 如果账户存在但 net user 不显示,可能是注册表隐藏账户。 查看是否有异常用户被加入管理员组。 攻击者可能添加自己以便远程控制。 查看最近登录记录。 (2)检查当前会话 如果发现未知会话,可能是攻击者保持的 RDP 连接。 • 检查网络连接(netstat): 查看是否有异常 IP 连接(如境外 IP)。 • 任务管理器(Ctrl+Shift+Esc): • 检查高 CPU/内存占用的未知进程。 • 使用 tasklist 命令: 查看进程关联的服务。 (2)检查恶意服务 • 查看所有服务: 或 检查是否有异常服务(如随机名称、路径在 Temp 目录)。 • 检查计划任务: 攻击者可能创建定时任务维持权限。 (1)查找近期修改的可执行文件 • 查找 %Temp%、%AppData% 中的可疑文件: • 检查系统目录(如 System32): 关注近期新增或修改的 .exe、.dll 文件。 (2)检查注册表自启动项• 常见自启动位置: 检查是否有异常启动项。 (3)检查文件修改时间 - (4)检查 WMI 持久化 (1)检查异常网络连接 查看是否有异常端口开放(如 4444、5555 等常见后门端口)。 攻击者可能添加规则放行恶意流量。 (2)检查 DNS 查询历史 检查是否有可疑域名解析记录。 (3)检查防火墙规则 攻击者可能添加规则放行 C2(命令与控制)流量。 攻击者可能删除日志掩盖行踪: 如果 Security.evtx 异常小(如几 KB),可能被清理。 如果服务被停止,可能是攻击者所为。 • Autoruns(微软 Sysinternals 工具):检查所有自启动项。
• 方法 1:使用命令查看用户
• 方法 2:查看隐藏账户
• 方法 3:检查本地管理员组
• 方法 4:检查远程桌面用户
• 使用事件查看器(eventvwr.msc):
• Windows 登录日志:Windows 日志 → 安全
筛选事件 ID:
• 4624(成功登录)
• 4625(失败登录)
• 4672(特权登录)
• 重点关注:
• 非正常时间的登录(如半夜)。
• 来自异常 IP 的登录(如国外 IP)。
• 大量失败的登录尝试(可能为暴力破解)。
• 使用 last 命令(需安装 Sysinternals Suite)
• 查看当前登录用户:
• 右键可疑进程 → 打开文件所在位置,检查是否为恶意文件。
• 查找近期修改的文件:
- • 查询 WMI 事件订阅:
• 使用 netstat:
• 检查防火墙规则:
• 查看 DNS 缓存:
• 查看放行规则:
• 查看日志文件大小:
• 检查日志服务状态:
检查 PowerShell 日志
• 查看 Microsoft-Windows-PowerShell/Operational 日志:
• 攻击者可能使用 PowerShell 进行横向移动。
• Process Explorer:分析进程的 DLL 注入情况。
• Wireshark:抓包分析异常外联流量。
• Volatility(内存取证):分析内存中的恶意进程。
2. 备份关键日志:导出 Security.evtx、System.evtx 等日志。
3. 杀毒扫描:使用 Windows Defender 或专业杀软(如 Malwarebytes)。
4. 重置密码:更改所有管理员账户密码。
5. 系统还原或重装:如确认被入侵,建议彻底清理环境。
总结:Windows 入侵痕迹排查应覆盖 用户账户、登录日志、进程服务、文件系统、注册表、网络连接、日志完整性 等多个方向。通过系统化检查,可有效发现攻击者的活动痕迹并采取应对措施。
本文章为转载:已经过原作者同意 作者公众号:骏安科技知识库 原文链接:https://mp.weixin.qq.com/s/o_4mYef0jx9XxrA5RfKj4A
)
工信部备案号: 
公安部备案号:
统一社会信用代码: