Windows 11 应急响应实战指南<\/h1>

1. 应急响应准备<\/h2>

1.1 基本防护措施<\/h3>

保持杀毒软件(McAfee\/360)常开状态<\/li>
确保Windows防火墙处于开启状态<\/li>

定期更新操作系统和驱动程序<\/li> <\/ul>

1.2 应急工具准备<\/h3>

微软官方工具：Autoruns<\/li>
火绒剑<\/li>

微步在线(https:\/\/x.threatbook.com\/)用于IP分析<\/li> <\/ul>

2. 应急响应步骤<\/h2>

2.1 初步响应<\/h3>

立即隔离系统<\/strong>：<\/p>

有线连接：拔掉网线<\/li>
WiFi连接：拔掉路由器网线或禁用无线适配器<\/li> <\/ul> <\/li>

终止可疑进程<\/strong>：<\/p>

使用Ctrl+Shift+Esc打开任务管理器<\/li>
检查GPU和CPU使用率异常情况<\/li>
结束高资源占用的可疑进程<\/li> <\/ul> <\/li>

删除恶意文件<\/strong>：<\/p>

根据杀毒软件报告删除木马文件<\/li>
卸载可疑软件(如案例中的鲁大师)<\/li> <\/ul> <\/li> <\/ol>
2.2 网络连接检查<\/h3>
使用netstat<\/code>命令检查异常外联：<\/p>
netstat -ano # 基本检查(无需管理员权限) <\/span><\/span>netstat -anob # 显示进程名(需管理员权限) <\/span><\/span><\/code><\/pre>检查重点：<\/p> ESTABLISHED<\/code>状态的连接<\/li> 可疑IP地址(可提交微步在线分析)<\/li> 对应PID的进程信息<\/li> <\/ul> 2.3 启动项检查<\/h3> 手工检查方法<\/h4> 注册表检查<\/strong>：<\/p> HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run<\/code><\/li> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run<\/code><\/li> <\/ul> <\/li> 启动文件夹检查<\/strong>：<\/p> C:\Users\[用户名]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup<\/code><\/li> 或运行shell:startup<\/code><\/li> <\/ul> <\/li> <\/ol> 工具检查(推荐)<\/h4> Autoruns<\/strong>：<\/p> 微软官方工具，检测所有开机启动路径<\/li> 支持检查注册表、服务、驱动、浏览器插件等<\/li> 下载地址：https:\/\/learn.microsoft.com\/en-us\/sysinternals\/downloads\/autoruns<\/li> <\/ul> <\/li> 火绒剑<\/strong>：<\/p> 检查非绿色(未验证)的启动项<\/li> 关注最近修改日期的文件<\/li> <\/ul> <\/li> <\/ol> 2.4 计划任务检查<\/h3> 运行taskschd.msc<\/code>打开计划任务管理器<\/li> 检查所有任务，删除不认识的计划任务<\/li> <\/ol> 2.5 用户账户检查<\/h3> 基本检查<\/strong>：<\/p> net user <\/span><\/span><\/code><\/pre><\/li> 注册表检查<\/strong>：<\/p> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList<\/code><\/li> <\/ul> <\/li> WMIC检查<\/strong>：<\/p> wmic useraccount get name,Sid <\/span><\/span><\/code><\/pre> 相同SID表示存在克隆账号<\/li> <\/ul> <\/li> 隐藏用户检查<\/strong>：<\/p> 检查用户文件夹中带$<\/code>的账户<\/li> 检查"设置"→"其他用户"<\/li> <\/ul> <\/li> <\/ol> 2.6 服务检查<\/h3> 系统配置检查<\/strong>：<\/p> 运行msconfig<\/code><\/li> 检查"服务"选项卡，关注"未知制造商"的服务<\/li> <\/ul> <\/li> 详细检查<\/strong>：<\/p> 定位服务对应进程<\/li> 检查文件路径和创建时间<\/li> 可疑文件提交微步在线分析<\/li> <\/ul> <\/li> <\/ol> 3. 善后处理<\/h2> 系统更新<\/strong>：<\/p> 更新操作系统至最新版本<\/li> 更新所有驱动程序<\/li> <\/ul> <\/li> 重启系统<\/strong>：<\/p> 清除内存中的恶意程序<\/li> 解决部分驱动问题<\/li> <\/ul> <\/li> 后续监控<\/strong>：<\/p> 持续监控系统资源使用情况<\/li> 定期检查安全日志<\/li> <\/ul> <\/li> <\/ol> 4. 关键知识点总结<\/h2> 资源管理器使用技巧<\/strong>：<\/p> 完整进程查看需在"性能"选项卡中操作<\/li> <\/ul> <\/li> 常见恶意行为特征<\/strong>：<\/p> 静默模式参数：-silent<\/code><\/li> 自启动参数：-StartType:AutoRun<\/code>或\/background<\/code><\/li> <\/ul> <\/li> 应急响应优先级<\/strong>：<\/p> 隔离系统<\/li> 终止恶意进程<\/li> 删除恶意文件<\/li> 检查持久化机制(启动项、计划任务等)<\/li> 检查账户安全<\/li> 全面系统检查<\/li> <\/ol> <\/li> 工具使用原则<\/strong>：<\/p> 优先使用微软官方工具(Autoruns)<\/li> 多工具交叉验证(如同时使用火绒剑和Autoruns)<\/li> <\/ul> <\/li> <\/ol>