Windows 应急响应指南

在实际的安全应急响应过程中，Windows 系统往往成为攻击者重点入侵的目标。一旦服务器被入侵，攻击者可能会采用各种手段建立隐藏或克隆账户、植入恶意任务、启动恶意进程或服务，并在文件和日志中留下痕迹。本文将从账户、计划任务、进程、服务、文件痕迹及日志分析六个方面，详细介绍常用的排查方法和技巧，帮助安全人员快速定位异常行为，挖掘攻击路径与线索。

---

0x1. Windows 账户排查

背景说明

在服务器被入侵后，攻击者可能会建立与系统常用账户名称相似的账户，或激活不经常使用的默认账户，甚至创建隐藏账户（通常账户名称后带有 $ 符号），以便于后续的远程控制和权限提升操作。一旦获取账户后，攻击者会利用工具或漏洞将该账户提升为管理员权限，从而实现对计算机的完全控制。

1. 命令行方法

• 收集账户信息：
  net user 命令

• 查看某个账户详细详情：
  net user username 命令

• 查看系统中的用户信息 ：
  命令 wmic useraccount get name, SID 

2. 图形界面方法

• 使用计算机管理工具：
  打开【计算机管理】窗口，依次选择【本地用户和组】→【用户】，检查是否存在名称以 $ 结尾的隐藏账户或其他新增的可疑账户。

• 启动本地用户和组管理工具：
  在命令行中输入 lusrmgr.msc 命令，即可直接打开图形界面进行账户排查。

• 通过注册表查看账户信息：
  打开【注册表编辑器】，选择 HKEY_LOCAL_MACHINE\SAM 节点，为该项添加读取权限（注意：此操作需谨慎，建议在隔离环境中进行），以便查看系统中存储的账户信息。

---

0x2. Windows 计划任务排查

背景说明

Windows 计划任务是系统中预置的一项功能，允许定时或触发某些操作。攻击者往往利用这一功能实现恶意程序的自启动或定时执行，从而隐藏后门或持续控制系统。

• 使用计算机管理工具排查：
  打开【计算机管理】窗口，进入【系统工具】→【任务计划程序】→【任务计划程序库】，逐项检查任务计划的详细信息，关注是否存在异常任务。

• 命令行方式：
  在命令行中使用 schtasks 命令，可以列出所有的计划任务信息，方便快速比对并查找可疑任务。

---

0x3. Windows 进程排查

背景说明

排查 Windows 进程主要是为了发现并分析可能的恶意进程，了解其 PID（进程标识符）、程序路径，甚至是父进程（PPID）和加载的 DLL 信息。攻击者可能通过伪装或隐藏进程来逃避检测，因此全面、细致的进程排查尤为重要。

• 任务管理器：
  直接通过【任务管理器】查看正在运行的进程，观察是否存在异常或不熟悉的程序。

• 使用 tasklist 命令：
  显示所有正在运行的进程列表。

• 查询进程加载的 DLL：
  通过 tasklist /m 命令可以查询每个进程加载的 DLL 文件，帮助发现恶意 DLL 注入行为。

• 网络连接排查：
  利用 netstat 命令查看当前网络连接信息，判断是否有可疑的外部连接。

• WMIC 查询：
  使用 wmic process get name,parentprocessid,processid /format:csv 命令，以 CSV 格式输出进程信息，便于进一步分析进程关系。

---

0x4. Windows 服务排查

背景说明

恶意程序常常会以服务的形式自启动，并借助服务的自动启动机制持续存在。服务排查能帮助我们识别和定位这些潜在威胁。

• 运行服务管理器：
  按下 Win + R 打开【运行】对话框，输入 services.msc 命令，进入【服务】窗口，检查所有服务项的名称、描述及状态，关注是否存在新增或异常的服务。

---

0x5. Windows 文件痕迹排查

背景说明

大多数恶意软件、木马或后门程序都会在文件系统中留下痕迹。文件排查是应急响应中的重要环节，通过对文件维度的分析可以确定攻击者的活动轨迹和植入点。

1. 针对敏感路径的排查

• 重点目录：
  检查与临时文件相关的目录（如 temp/tmp）、
• 浏览器历史记录、下载文件、cookie 信息
• 用户的 Recent 文件目录等

2. 时间点查找

• 列出攻击日期内新增的文件，使用 forfiles 命令。
• 对文件的创建时间、修改时间、访问时间进行排查。 。

3. 针对恶意特征的查找

• 关键词与特征匹配：
  根据已知恶意软件的代码关键字、关键函数调用以及文件权限特征等，利用脚本或专业工具进行关键字匹配，快速锁定疑似文件。

---

0x6. Windows 日志分析

Windows 系统日志是安全排查的重要依据，包括以下三大类：

• 系统日志：记录系统中各种组件在运行中产生的各种事件。

• 安全性日志：记录各种与安全相关的事件。

• 应用程序日志：记录各种应用程序所产生的各类事件。

常用事件 ID 与登录类型

1. 日志常用事件 ID

事件 ID（旧版本）	事件 ID（新版本）	描述	事件日志
528	4624	成功登录	安全
529	4625	登录失败	安全
680	4776	成功/失败的账户认证	安全
624	4720	创建用户	安全
636	4732	添加用户到启用安全性的本地组中	安全
632	4728	添加用户到启用安全性的全局组中	安全
2934	7030	服务创建错误	系统
2944	7040	IPSEC 服务启动类型由禁用改为自动启动	系统
2949	7045	服务创建	系统

2. 登录类型说明

数字	登录类型	描述
2	Interactive	用户直接登录到本机
3	Network	用户或其他计算机通过网络登录到本机
4	Batch	批处理登录类型，无需用户干预
5	Service	由服务控制管理器登录
7	Unlock	用户解锁主机
8	NetworkCleartext	用户从网络登录到此计算机，密码以非哈希形式传输
9	NewCredentials	进程或线程克隆当前令牌，并为出站连接指定新凭据
10	RemoteInteractive	使用终端服务或远程桌面登录
11	CachedInteractive	使用本地缓存的凭据登录
12	CachedRemoteInteractive	内部用于审计，与 RemoteInteractive 类似
13	CachedUnlock	登录尝试解锁

3. 登录相关日志事件

• 4624： 用户登录成功（大部分成功登录事件产生此日志）
• 4625： 用户登录失败（注意：解锁屏幕不会产生该日志）
• 4672： 特殊权限用户登录（如 Administrator 的成功登录会记录此日志）
• 4648： 显式凭证登录（例如使用 runas /user 以其他用户身份运行程序时产生）

4. 启动及日志清除相关事件

事件描述	事件 ID	事件级别	事件日志	事件来源
关机初始化失败	1074	警告	User32	User32
Windows 关闭	13	信息	系统	Microsoft-Windows-Kernel-General
Windows 启动	12	信息	系统	Microsoft-Windows-Kernel-General
事件日志服务关闭	1100	信息	安全	Microsoft-Windows-EventLog
事件日志被清除	104	信息	系统	Microsoft-Windows-EventLog
事件日志被清除	1102	信息	安全	Microsoft-Windows-EventLog

---

总结

希望这篇分享能为大家在应急响应实践中提供帮助，也欢迎大家交流讨论更多的排查技巧与经验！

---