Windows 11 应急响应实战指南

1. 应急响应准备

1.1 基本防护措施

• 保持杀毒软件(McAfee/360)常开状态
• 确保Windows防火墙处于开启状态
• 定期更新操作系统和驱动程序

1.2 应急工具准备

• 微软官方工具：Autoruns
• 火绒剑
• 微步在线(https://x.threatbook.com/)用于IP分析

2. 应急响应步骤

2.1 初步响应

1. 立即隔离系统：

   • 有线连接：拔掉网线
   • WiFi连接：拔掉路由器网线或禁用无线适配器

2. 终止可疑进程：

   • 使用Ctrl+Shift+Esc打开任务管理器
   • 检查GPU和CPU使用率异常情况
   • 结束高资源占用的可疑进程

3. 删除恶意文件：

   • 根据杀毒软件报告删除木马文件
   • 卸载可疑软件(如案例中的鲁大师)

2.2 网络连接检查

使用netstat命令检查异常外联：

netstat -ano  # 基本检查(无需管理员权限)
netstat -anob # 显示进程名(需管理员权限)

检查重点：

• ESTABLISHED状态的连接
• 可疑IP地址(可提交微步在线分析)
• 对应PID的进程信息

2.3 启动项检查

手工检查方法

1. 注册表检查：

   • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
   • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

2. 启动文件夹检查：

   • C:\Users\[用户名]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
   • 或运行shell:startup

工具检查(推荐)

1. Autoruns：

   • 微软官方工具，检测所有开机启动路径
   • 支持检查注册表、服务、驱动、浏览器插件等
   • 下载地址：https://learn.microsoft.com/en-us/sysinternals/downloads/autoruns

2. 火绒剑：

   • 检查非绿色(未验证)的启动项
   • 关注最近修改日期的文件

2.4 计划任务检查

1. 运行taskschd.msc打开计划任务管理器
2. 检查所有任务，删除不认识的计划任务

2.5 用户账户检查

1. 基本检查：

   net user
   

2. 注册表检查：

   • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

3. WMIC检查：

   wmic useraccount get name,Sid
   

   • 相同SID表示存在克隆账号

4. 隐藏用户检查：

   • 检查用户文件夹中带$的账户
   • 检查"设置"→"其他用户"

2.6 服务检查

1. 系统配置检查：

   • 运行msconfig
   • 检查"服务"选项卡，关注"未知制造商"的服务

2. 详细检查：

   • 定位服务对应进程
   • 检查文件路径和创建时间
   • 可疑文件提交微步在线分析

3. 善后处理

1. 系统更新：

   • 更新操作系统至最新版本
   • 更新所有驱动程序

2. 重启系统：

   • 清除内存中的恶意程序
   • 解决部分驱动问题

3. 后续监控：

   • 持续监控系统资源使用情况
   • 定期检查安全日志

4. 关键知识点总结

1. 资源管理器使用技巧：

   • 完整进程查看需在"性能"选项卡中操作

2. 常见恶意行为特征：

   • 静默模式参数：-silent
   • 自启动参数：-StartType:AutoRun或/background

3. 应急响应优先级：

   1. 隔离系统
   2. 终止恶意进程
   3. 删除恶意文件
   4. 检查持久化机制(启动项、计划任务等)
   5. 检查账户安全
   6. 全面系统检查

4. 工具使用原则：

   • 优先使用微软官方工具(Autoruns)
   • 多工具交叉验证(如同时使用火绒剑和Autoruns)