Windows应急响应指南

1. 开机启动文件分析

被植入的木马病毒、恶意文件通常会在计算机启动时自启动运行。可通过以下方式查看开机启动项：

1. 启动菜单路径：

   C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup
   

2. 系统配置工具：

   • 运行msconfig命令
   • 查看"启动"选项卡

3. 注册表路径：

   计算机\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   计算机\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run
   

2. Temp临时异常文件分析

临时文件夹位置：

C:\Document and Settings\Administrator\Local Settings\

或通过运行%temp%直接打开

排查重点：

• 查看PE文件（exe、dll、sys）
• 检查异常大的tmp文件
• 可疑文件可上传云沙箱分析：
  • VirusTotal
  • 微步在线
  • 360威胁情报中心

Temp文件夹被利用的原因：

1. 某些系统中位于RAM DISK，文件操作更快
2. 当前用户具有读写权限，可绕过权限限制
3. 操作系统会自动清理不完整写入的文件

3. 浏览器分析

攻击者可能使用服务器浏览器访问网站或下载恶意代码。

检查内容：

1. 浏览器浏览痕迹
2. 文件下载记录
3. Cookie信息

工具推荐：
NirSoft工具集

4. 文件时间属性分析

Windows文件有三个时间属性：

1. 创建时间
2. 修改时间
3. 访问时间

可疑迹象：

• 文件修改时间早于创建时间
• 时间属性被异常修改

5. 最近打开文件分析

查看最近打开文件记录：

C:\Documents and Settings\Administrator\Recent

或运行：

%UserProfile%\Recent

可使用Windows筛选条件查看特定时间范围的文件。

6. 可疑进程发现与关闭

排查步骤：

1. 查看网络连接状态：

   netstat -ano | find "ESTABLISHED"
   

2. 查找对应进程：

   tasklist /svc | find "PID"
   

3. 关闭可疑进程：

   taskkill /PID xxx /T
   

7. 系统信息排查

7.1 异常计划任务排查

攻击者可能设置计划任务定时执行恶意代码。

排查方法：

1. 使用schtasks命令查看计划任务
2. 通过"任务计划程序"查看
3. 可疑任务可上传云沙箱分析

7.2 隐藏账户发现与删除

隐藏账户创建命令：

net user test$ test /add && net localgroup administrator test$ /add

$符号可使账户在net user命令中不可见

注册表检查路径：

计算机\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names

7.3 恶意进程发现与关闭

排查方法：

1. 使用工具如psexplore
2. 可疑进程上传云沙箱分析
3. 关闭相关恶意服务

7.4 补丁查看与更新

查看系统补丁：

1. 使用命令：

   systeminfo
   

2. 在"卸载程序"中查看已安装更新
3. 在Windows设置中检查更新（Win+i → Windows更新）

总结

Windows应急响应需要系统性地检查多个关键点，包括启动项、临时文件、浏览器记录、文件属性、进程状态、计划任务、隐藏账户和系统补丁等。通过综合分析这些信息，可以有效发现和清除系统中的恶意活动。