一、檢查系統(tǒng)賬號(hào)安全

1、查看服務(wù)器是否存在弱口令，遠(yuǎn)程對(duì)物理端口是否對(duì)公網(wǎng)開放。

• 檢查方法：根據(jù)實(shí)際情況咨詢相關(guān)服務(wù)器管理員。

2、查看服務(wù)器是否存在可疑賬號(hào)，新增賬號(hào)。

• 檢查方法：打開 cmd 窗口，輸入 lusrmgr.msc 命令，查看是否有新增/可疑的賬號(hào)，如有管理員群組的（Administrators）里的新增賬戶，如有，請(qǐng)立即禁用或刪除掉。

3、查看服務(wù)器是否存在隱藏賬號(hào)、克隆賬號(hào)。

• 檢查方法：

  • a、打開注冊表 ，查看管理員對(duì)應(yīng)鍵值。

  • b、使用D盾_web查殺工具，集成了對(duì)克隆賬號(hào)檢測的功能。

4、結(jié)合日志，查看管理員登錄時(shí)間、用戶名是否存在異常。

• 檢查方法：
  • a、Win+R 打開運(yùn)行，輸入"eventvwr.msc"，回車運(yùn)行，打開“事件查看器”。
  • b、導(dǎo)出 Windows 日志 – 安全，利用微軟官方工具 Log Parser 進(jìn)行分析。

二、 檢查異常端口、進(jìn)程

1、檢查端口連接情況，是否有遠(yuǎn)程連接、可疑連接。

• 檢查方法：
  • a、使用netstat -ano 命令查看目前的網(wǎng)絡(luò)連接，定位可疑的 ESTABLISHED
  • b、根據(jù) netstat 命令定位出的 PID 編號(hào)，再通過 tasklist 命令進(jìn)行進(jìn)程定位 tasklist | findstr “PID”

2、進(jìn)程

• 檢查方法：

  • a、開始 – 運(yùn)行 – 輸入 msinfo32 命令，依次點(diǎn)擊 “軟件環(huán)境 – 正在運(yùn)行任務(wù)” 就可以查看到進(jìn)程的詳細(xì)信息，比如進(jìn)程路徑、進(jìn)程ID、文件創(chuàng)建日期以及啟動(dòng)時(shí)間等。
  • b、打開D盾_web查殺工具，進(jìn)程查看，關(guān)注沒有簽名信息的進(jìn)程。
  • c、通過微軟官方提供的 Process Explorer 等工具進(jìn)行排查 。
  • d、查看可疑的進(jìn)程及其子進(jìn)程。可以通過觀察以下內(nèi)容：
  1. 沒有簽名驗(yàn)證信息的進(jìn)程 2. 沒有描述信息的進(jìn)程 3. 進(jìn)程的屬主 4. 進(jìn)程的路徑是否合法 5. CPU 或內(nèi)存資源占用長時(shí)間過高的進(jìn)程

  3、小技巧：

• a、查看端口對(duì)應(yīng)的 PID：netstat -ano | findstr “[端口號(hào)]”

• b、查看進(jìn)程對(duì)應(yīng)的 PID：任務(wù)管理器 – 查看 – 選擇列 – PID 或者 tasklist | findstr “PID”

• c、查看進(jìn)程對(duì)應(yīng)的程序位置：任務(wù)管理器 – 選擇對(duì)應(yīng)進(jìn)程 – 右鍵打開文件位置，運(yùn)行輸入 wmic，cmd 界面輸入 process

• d、tasklist /svc 進(jìn)程 – PID – 服務(wù)

• e、查看Windows服務(wù)所對(duì)應(yīng)的端口：

  • %systemroot%/system32/drivers/etc/services（一般 %systemroot% 就是 C:\Windows 路徑）

三、檢查啟動(dòng)項(xiàng)、計(jì)劃任務(wù)、服務(wù)

1、檢查服務(wù)器是否有異常的啟動(dòng)項(xiàng)。

• 檢查方法：
• a、C:\Users\用戶名\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
• b、C:\用戶\用戶名\AppData\Roaming\Microsoft\Windows[開始] 菜單\程序\啟動(dòng)
• c、單擊開始菜單 >【運(yùn)行】，輸入 msconfig，查看是否存在命名異常的啟動(dòng)項(xiàng)目，是則取消勾選命名異常的啟動(dòng)項(xiàng)目，并到命令中顯示的路徑刪除文件。
• d、單擊【開始】>【運(yùn)行】，輸入 regedit，打開注冊表，查看開機(jī)啟動(dòng)項(xiàng)是否正常，特別注意如下三個(gè)注冊表項(xiàng)：

注冊表(regedit)路徑： 1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 2. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce 3. HKEY_CURRENT_USER\Software\Micorsoft\Windows\Currentversion\Run

檢查右側(cè)是否有啟動(dòng)異常的項(xiàng)目，如有請(qǐng)刪除，并建議安裝殺毒軟件進(jìn)行病毒查殺，清除殘留病毒或木馬。

• e、利用安全軟件查看啟動(dòng)項(xiàng)、開機(jī)時(shí)間管理等。
• f、組策略，運(yùn)行 gpedit.msc

2、檢查計(jì)劃任務(wù)

• 檢查方法：
• a、單擊【開始】>【設(shè)置】>【控制面板】>【任務(wù)計(jì)劃】，查看計(jì)劃任務(wù)屬性，便可以發(fā)現(xiàn)木馬文件的路徑。
• b、單擊【開始】>【運(yùn)行】；輸入 cmd，然后輸入 schtasks.exe，檢查計(jì)算機(jī)與網(wǎng)絡(luò)上的其它計(jì)算機(jī)之間的會(huì)話或計(jì)劃任務(wù)，如有，則確認(rèn)是否為正常連接。

3、服務(wù)自啟動(dòng)

• 檢查方法：單擊【開始】>【運(yùn)行】，輸入 services.msc，注意服務(wù)狀態(tài)和啟動(dòng)類型，檢查是否有異常服務(wù)。

四、 檢查系統(tǒng)相關(guān)信息

1、查看系統(tǒng)版本以及補(bǔ)丁信息

• 檢查方法：單擊【開始】>【運(yùn)行】，輸入 systeminfo，查看系統(tǒng)信息。

2、查找可疑目錄及文件

• 檢查方法：
• a、 查看用戶目錄，新建賬號(hào)會(huì)在這個(gè)目錄生成一個(gè)用戶目錄，查看是否有新建用戶目錄。

1. Window 2003版本 C:\Documents and Settings 2. Window 2008R2及以后版本 C:\Users\

• b、單擊【開始】>【運(yùn)行】，輸入 %UserProfile%\Recent，分析最近打開分析可疑文件。
• c、在服務(wù)器各個(gè)目錄，可根據(jù)文件夾內(nèi)文件列表時(shí)間進(jìn)行排序，查找可疑文件。
• d、回收站、瀏覽器下載目錄、瀏覽器歷史記錄
• e、修改時(shí)間在創(chuàng)建時(shí)間之前的為可疑文件

3、發(fā)現(xiàn)并得到 WebShell、遠(yuǎn)控木馬的創(chuàng)建時(shí)間，如何找出同一時(shí)間范圍內(nèi)創(chuàng)建的文件？

• a、利用 Registry Workshop 注冊表編輯器的搜索功能，可以找到最后寫入時(shí)間區(qū)間的文件。
• b、利用計(jì)算機(jī)自帶文件搜索功能，指定修改時(shí)間進(jìn)行搜索。

4、排查可疑賬號(hào)、新增賬號(hào)

• 檢查方法：
• a、打開cmd窗口，輸入 lusrmgr.msc
• b、查看是否存在可疑賬號(hào)，特別是管理員群組（Administrators）中的新增賬號(hào)，如果存在需要立即刪除或禁用

5、排查隱藏賬號(hào)

打開注冊表，查看管理員對(duì)應(yīng)鍵值 1. 在桌面打開運(yùn)行（可使用快捷鍵 win+R），輸入 regedit，打開注冊表編輯器 2. 選擇 HKEY_LOCAL_MACHINE/SAM/SAM，默認(rèn)無法查看該選項(xiàng)內(nèi)容，右鍵菜單選擇權(quán)限，打開權(quán)限管理窗口 3. 選擇當(dāng)前用戶（一般為 administrator），將權(quán)限勾選為完全控制，然后確定并關(guān)閉注冊表編輯器 4. 再次打開注冊表編輯器，即可選擇 HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users 5. 在 Names 項(xiàng)下可以看到實(shí)例所有用戶名，如出現(xiàn)本地賬戶中沒有的賬戶，即為隱藏賬戶，在確認(rèn)為非系統(tǒng)用戶的前提下，可刪除此用戶

五、 自動(dòng)化查殺

• 病毒查殺
  • 檢查方法：下載安全軟件，更新最新病毒庫，進(jìn)行全盤掃描。
• webshell查殺
  • 檢查方法：選擇具體站點(diǎn)路徑進(jìn)行webshell查殺，建議使用兩款 WebShell 查殺工具同時(shí)查殺，可相互補(bǔ)充規(guī)則庫的不足。

六、日志分析

1、系統(tǒng)日志

• 分析方法：
  • a、前提：開啟審核策略，若日后系統(tǒng)出現(xiàn)故障、安全事故則可以查看系統(tǒng)的日志文件，排除故障，追查入侵者的信息等。
  • b、Win+R 打開運(yùn)行，輸入 “eventvwr.msc”，回車運(yùn)行，打開"事件查看器"。
  • C、導(dǎo)出應(yīng)用程序日志、安全日志、系統(tǒng)日志，利用 Log Parser 進(jìn)行分析。

4624 登錄成功 4625 登錄失敗 4634 注銷成功 4647 用戶啟動(dòng)的注銷 4672 使用超級(jí)用戶登錄（管理員）進(jìn)行登錄 4720 創(chuàng)建用戶 4776 成功/失敗的賬戶認(rèn)證 6006，6005，6009就表示不同狀態(tài)的機(jī)器的情況 6005 信息 EventLog 事件日志服務(wù)已啟動(dòng) 6006 信息 EventLog 事件日志服務(wù)已停止 6009 信息 EventLog 按ctrl、alt、delete鍵(非正常)關(guān)機(jī)

2、Web 訪問日志

• 分析方法：
  • a、找到中間件的web日志，打包到本地方便進(jìn)行分析。
  • b、推薦工具：Windows 下，推薦用 EmEditor 進(jìn)行日志分析，支持大文本，搜索效率還不錯(cuò)。Linux 下，使用 Shell 命令組合查詢分析。

3、工具篇

• 病毒分析

1. PCHunter：http://www.xuetr.com 2. 火絨劍：https://www.huorong.cn 3. Process Explorer：https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer 4. processhacker：https://processhacker.sourceforge.io/downloads.php 5. autoruns：https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns 6. OTL：https://www.bleepingcomputer.com/download/otl/ 7. SysInspector：http://download.eset.com.cn/download/detail/?product=sysinspector

• 日志分析

1. Log Parser: https://www.microsoft.com/en-us/download/details.aspx?id=246592. Log Parser的圖形化界面工具LogParser Lizard: http://www.lizard-labs.com/log_parser_lizard.aspx3. Event Log Explorer： https://event-log-explorer.en.softonic.com/Event Log Explorer是一款非常好用的Windows日志分析工具。可用于查看，監(jiān)視和分析跟事件記錄，包括安全，系統(tǒng)，應(yīng)用程序和其他微軟Windows 的記錄被記載的事件，其強(qiáng)大的過濾功能可以快速的過濾出有價(jià)值的信息

• 病毒查殺

1. 卡巴斯基：http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe （推薦理由：綠色版、最新病毒庫） 2. 大蜘蛛：http://free.drweb.ru/download+cureit+free（推薦理由：掃描快、一次下載只能用1周，更新病毒庫） 3. 火絨安全軟件：https://www.huorong.cn 4. 360殺毒：http://sd.360.cn/download_center.html

• 病毒動(dòng)態(tài)

1. CVERC-國家計(jì)算機(jī)病毒應(yīng)急處理中心：http://www.cverc.org.cn 2. 微步在線威脅情報(bào)社區(qū)：https://x.threatbook.cn 3. 火絨安全論壇：http://bbs.huorong.cn/forum-59-1.html 4. 愛毒霸社區(qū)：http://bbs.duba.net 5. 騰訊電腦管家：http://bbs.guanjia.qq.com/forum-2-1.html

• 在線病毒掃描網(wǎng)站

1. Virustotal：https://www.virustotal.com 2. Virscan：http://www.virscan.org 3. 騰訊哈勃分析系統(tǒng)：https://habo.qq.com 4. Jotti 惡意軟件掃描系統(tǒng)：https://virusscan.jotti.org

• webshell查殺

1. D盾_Web查殺：http://www.d99net.net/index.asp 2. 河馬 WebShell 查殺：http://www.shellpub.com

總結(jié)

以上是生活随笔為你收集整理的Windows 应急响应篇(保姆级检查流程)的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。