Windows操作系统应急响应指南：基于被钓鱼主机的快速排查

1. 应急响应概述

Windows系统被钓鱼后，攻击者通常会植入后门、窃取凭证或部署恶意软件。与Linux系统不同，Windows的排查需要关注更多特定领域，包括注册表、计划任务、WMI持久化等。

2. 快速排查流程

2.1 用户账户检查

查看当前登录用户：

whoami
net user
net localgroup administrators

检查隐藏用户：

reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList"

检查远程桌面用户：

reg query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections

2.2 网络连接检查

查看当前网络连接：
```
netstat -ano
```
检查异常端口：
```
tasklist /svc | find "PID"
```

检查防火墙规则：

Get-NetFirewallRule | Where-Object {$_.Enabled -eq $true} | Format-Table -AutoSize

2.3 进程检查

查看所有进程：
```
tasklist /v
```
检查可疑进程：
- 关注CPU/内存占用异常的进程
- 检查无签名或签名异常的进程
- 检查进程路径异常的进程
使用Process Explorer：
- 验证进程签名
- 查看进程加载的DLL
- 检查进程句柄

2.4 自启动项检查

检查注册表启动项：

reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
reg query "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"

检查启动文件夹：

dir "%ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup"
dir "%AppData%\Microsoft\Windows\Start Menu\Programs\Startup"

检查服务：
```
sc query state= all
```
检查计划任务：
```
schtasks /query /fo LIST /v
```

检查WMI持久化：

Get-WmiObject -Namespace root\Subscription -Class __EventFilter
Get-WmiObject -Namespace root\Subscription -Class __EventConsumer
Get-WmiObject -Namespace root\Subscription -Class __FilterToConsumerBinding

2.5 文件系统检查

检查最近修改的文件：
```
dir /a /s /od /tw %SystemDrive%\
```
检查临时目录：
```
dir %TEMP% /a /s
```
检查可疑文件：
- 隐藏文件
- 异常时间戳的文件
- 异常命名的文件（如随机字符名称）

2.6 日志分析

查看系统日志：
```
eventvwr.msc
```
重点关注：
- 安全日志（登录事件）
- 系统日志（服务启动）
- 应用程序日志（异常错误）

查看PowerShell日志：

Get-WinEvent -LogName "Microsoft-Windows-PowerShell/Operational" | Select-Object -First 20

查看RDP日志：

wevtutil qe Security /q:"*[System[EventID=4624]]" /f:text

3. 高级排查技术

3.1 内存取证

使用DumpIt获取内存镜像
使用Volatility分析内存
- 检查隐藏进程
- 检查网络连接
- 检查注入的代码

3.2 注册表取证

检查UserAssist：

reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist" /s

检查Shellbags：

reg query "HKCU\Software\Microsoft\Windows\Shell\Bags" /s

检查RecentDocs：

reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs" /s

3.3 恶意软件分析

静态分析：
- 检查文件哈希
- 查看字符串
- 分析PE头信息
动态分析：
- 使用Process Monitor监控行为
- 使用Wireshark监控网络流量
- 使用API Monitor监控API调用

4. 自动化工具推荐

Autoruns - 全面检查自启动项
Process Explorer - 高级进程分析
Sysinternals Suite - 微软官方工具集
KAPE - 快速取证收集工具
Velociraptor - 端点可见性和响应工具

5. 应急响应步骤总结

隔离系统 - 断开网络连接
收集证据 - 内存、日志、文件等
初步分析 - 识别可疑活动
深入调查 - 确定入侵范围和影响
清除威胁 - 移除恶意组件
恢复系统 - 修复受损配置
加固系统 - 防止再次入侵

6. 预防措施

启用Windows Defender实时保护
配置AppLocker限制可执行文件
启用PowerShell脚本日志记录
定期审核用户权限
实施网络分段和访问控制

通过以上方法，可以有效识别和清除Windows系统中由钓鱼攻击植入的后门和恶意软件，恢复系统安全状态。

Windows操作系统应急响应指南：基于被钓鱼主机的快速排查 1. 应急响应概述 Windows系统被钓鱼后，攻击者通常会植入后门、窃取凭证或部署恶意软件。与Linux系统不同，Windows的排查需要关注更多特定领域，包括注册表、计划任务、WMI持久化等。 2. 快速排查流程 2.1 用户账户检查查看当前登录用户：检查隐藏用户：检查远程桌面用户： 2.2 网络连接检查查看当前网络连接：检查异常端口：检查防火墙规则： 2.3 进程检查查看所有进程：检查可疑进程：关注CPU/内存占用异常的进程检查无签名或签名异常的进程检查进程路径异常的进程使用Process Explorer ：验证进程签名查看进程加载的DLL 检查进程句柄 2.4 自启动项检查检查注册表启动项：检查启动文件夹：检查服务：检查计划任务：检查WMI持久化： 2.5 文件系统检查检查最近修改的文件：检查临时目录：检查可疑文件：隐藏文件异常时间戳的文件异常命名的文件（如随机字符名称） 2.6 日志分析查看系统日志：重点关注：安全日志（登录事件）系统日志（服务启动）应用程序日志（异常错误）查看PowerShell日志：查看RDP日志： 3. 高级排查技术 3.1 内存取证使用DumpIt获取内存镜像使用Volatility分析内存检查隐藏进程检查网络连接检查注入的代码 3.2 注册表取证检查UserAssist ：检查Shellbags ：检查RecentDocs ： 3.3 恶意软件分析静态分析：检查文件哈希查看字符串分析PE头信息动态分析：使用Process Monitor监控行为使用Wireshark监控网络流量使用API Monitor监控API调用 4. 自动化工具推荐 Autoruns - 全面检查自启动项 Process Explorer - 高级进程分析 Sysinternals Suite - 微软官方工具集 KAPE - 快速取证收集工具 Velociraptor - 端点可见性和响应工具 5. 应急响应步骤总结隔离系统 - 断开网络连接收集证据 - 内存、日志、文件等初步分析 - 识别可疑活动深入调查 - 确定入侵范围和影响清除威胁 - 移除恶意组件恢复系统 - 修复受损配置加固系统 - 防止再次入侵 6. 预防措施启用Windows Defender实时保护配置AppLocker限制可执行文件启用PowerShell脚本日志记录定期审核用户权限实施网络分段和访问控制通过以上方法，可以有效识别和清除Windows系统中由钓鱼攻击植入的后门和恶意软件，恢复系统安全状态。