蓝队应急响应之系统入侵排查
字数 1312 2025-08-22 18:37:14

Windows Server 2016 系统入侵排查指南

账号排查

账户类型识别

Windows系统中存在三种类型的账户:

  1. 正常用户:可通过net user命令查看
  2. 隐藏用户net user看不到,但在控制面板、lusrmgr.msc或用户组中可见(用户名后有$符号)
    • 查看命令:net localgroup administrators
  3. 影子用户:仅在注册表中可见

注册表排查方法

  1. 按Win+R,输入regedit打开注册表编辑器
  2. 默认情况下SAM项不可访问,需:
    • 右键选择"权限"
    • 选择管理员账户并赋予操作权限
    • 按F5刷新
  3. 影子用户会在注册表中显示(如zhangsan$

Windows自带用户账户

  • Administrator:具有完全控制权限的管理员账户,默认禁用
  • DefaultAccount:Windows 10预配置账户,用于应用程序容器和系统组件身份验证
  • Guest:受限用户环境,默认禁用
  • WDAGUtilityAccount:Windows Defender Application Guard实用程序账户

网络排查

网络连接检查

非管理员权限下

netstat -ano
  • 本地地址:显示本地开放的端口和连接
  • 外部地址:显示当前连接情况
    • 0.0.0.0:0表示无活动连接
    • 可疑IP可通过威胁情报平台查询

管理员权限下

netstat -anob
  • 可查看每个连接对应的具体进程和程序

进程排查

可疑进程识别方法

  1. 打开任务管理器,查看"详细信息"选项卡
  2. 根据PID寻找可疑进程
  3. 特别注意:
    • Temp目录:黑客常将木马程序放在此目录(允许任意文件上传下载)
    • 使用火绒剑等专业工具比任务管理器更有效

常见进程伪装手法

  1. 重名进程
    • 在任务管理器"详细信息"中查看或"打开文件位置"验证
  2. 相似进程名
    • monkey.exe伪装为m0nkey.exe
    • 常位于系统进程相同目录下

注册表排查

自启动项检查

检查以下注册表路径中的可疑项:

  1. 用户自启动项:
    • HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run
  2. 系统自启动项:
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

镜像劫持检查

检查路径:

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options
  • 黑客可能在此劫持正常程序(如打开微信实际执行木马程序)

排查工具推荐

  1. 火绒剑:比任务管理器更强大的进程查看工具
  2. 注册表编辑器:检查自启动项和镜像劫持
  3. netstat:网络连接分析
  4. 威胁情报平台:可疑IP查询

关键排查流程

  1. 检查异常用户账户(特别是隐藏和影子用户)
  2. 分析网络连接,识别可疑IP和端口
  3. 审查运行进程,识别伪装或异常进程
  4. 检查注册表中的自启动项和镜像劫持
  5. 特别关注Temp目录等易受攻击位置

通过以上系统化的排查方法,可以有效识别Windows Server 2016系统中的入侵痕迹和安全威胁。

Windows Server 2016 系统入侵排查指南 账号排查 账户类型识别 Windows系统中存在三种类型的账户: 正常用户 :可通过 net user 命令查看 隐藏用户 : net user 看不到,但在控制面板、lusrmgr.msc或用户组中可见(用户名后有 $ 符号) 查看命令: net localgroup administrators 影子用户 :仅在注册表中可见 注册表排查方法 按Win+R,输入 regedit 打开注册表编辑器 默认情况下SAM项不可访问,需: 右键选择"权限" 选择管理员账户并赋予操作权限 按F5刷新 影子用户会在注册表中显示(如 zhangsan$ ) Windows自带用户账户 Administrator :具有完全控制权限的管理员账户,默认禁用 DefaultAccount :Windows 10预配置账户,用于应用程序容器和系统组件身份验证 Guest :受限用户环境,默认禁用 WDAGUtilityAccount :Windows Defender Application Guard实用程序账户 网络排查 网络连接检查 非管理员权限下 : 本地地址 :显示本地开放的端口和连接 外部地址 :显示当前连接情况 0.0.0.0:0 表示无活动连接 可疑IP可通过威胁情报平台查询 管理员权限下 : 可查看每个连接对应的具体进程和程序 进程排查 可疑进程识别方法 打开任务管理器,查看"详细信息"选项卡 根据PID寻找可疑进程 特别注意: Temp目录 :黑客常将木马程序放在此目录(允许任意文件上传下载) 使用火绒剑等专业工具比任务管理器更有效 常见进程伪装手法 重名进程 : 在任务管理器"详细信息"中查看或"打开文件位置"验证 相似进程名 : 如 monkey.exe 伪装为 m0nkey.exe 常位于系统进程相同目录下 注册表排查 自启动项检查 检查以下注册表路径中的可疑项: 用户自启动项: HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run 系统自启动项: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce 镜像劫持检查 检查路径: 黑客可能在此劫持正常程序(如打开微信实际执行木马程序) 排查工具推荐 火绒剑 :比任务管理器更强大的进程查看工具 注册表编辑器 :检查自启动项和镜像劫持 netstat :网络连接分析 威胁情报平台 :可疑IP查询 关键排查流程 检查异常用户账户(特别是隐藏和影子用户) 分析网络连接,识别可疑IP和端口 审查运行进程,识别伪装或异常进程 检查注册表中的自启动项和镜像劫持 特别关注Temp目录等易受攻击位置 通过以上系统化的排查方法,可以有效识别Windows Server 2016系统中的入侵痕迹和安全威胁。