Windows系統入侵痕跡自查指南

互利互讀一輩子 2025-08-09 發布于北京

展開全文

當懷疑 Windows 系統可能被入侵時，需要從多個方向進行排查，以發現攻擊者的活動痕跡。以下是主要的排查方向及關鍵檢查點：

1. 檢查可疑用戶賬戶

攻擊者可能創建隱藏賬戶或提升權限：

· 方法 1：使用命令查看用戶

net user

檢查是否有異常賬戶（如默認不存在的 admin$、backdoor 等）。

· 方法 2：查看隱藏賬戶

net user 可疑用戶名

如果賬戶存在但 net user 不顯示，可能是注冊表隱藏賬戶。

· 方法 3：檢查本地管理員組

net localgroup administrators

查看是否有異常用戶被加入管理員組。

· 方法 4：檢查遠程桌面用戶

net localgroup 'Remote Desktop Users'

攻擊者可能添加自己以便遠程控制。

2. 檢查異常登錄記錄

（1）查看近期登錄事件

· 使用事件查看器（eventvwr.msc）：

· Windows 登錄日志：
Windows 日志 → 安全
篩選事件 ID：

· 4624（成功登錄）
· 4625（失敗登錄）
· 4672（特權登錄）

· 重點關注：

· 非正常時間的登錄（如半夜）。
· 來自異常 IP 的登錄（如國外 IP）。
· 大量失敗的登錄嘗試（可能為暴力破解）。

· 使用 last 命令（需安裝 Sysinternals Suite）

last -f C:\Windows\System32\winevt\Logs\Security.evtx

查看最近登錄記錄。

（2）檢查當前會話

· 查看當前登錄用戶：

query user

如果發現未知會話，可能是攻擊者保持的 RDP 連接。

· 檢查網絡連接（netstat）：

netstat -ano | findstr ESTABLISHED

查看是否有異常 IP 連接（如境外 IP）。

3. 檢查異常進程和服務

（1）查看可疑進程

· 任務管理器（Ctrl+Shift+Esc）：

· 檢查高 CPU/內存占用的未知進程。
· 右鍵可疑進程 → 打開文件所在位置，檢查是否為惡意文件。

· 使用 tasklist 命令：

tasklist /svc

查看進程關聯的服務。

（2）檢查惡意服務

· 查看所有服務：

sc query state= all

或

wmic service get name,displayname,pathname,startmode

檢查是否有異常服務（如隨機名稱、路徑在 Temp 目錄）。

· 檢查計劃任務：

schtasks /query /fo LIST /v

攻擊者可能創建定時任務維持權限。

4. 檢查異常文件與注冊表

（1）查找近期修改的可執行文件

· 查找 %Temp%、%AppData%** 中的可疑文件**：

dir /s /od C:\Users\%username%\AppData\Local\Temp\*.exe

· 檢查系統目錄（如 System32）：

dir /a /s /od C:\Windows\System32\*.exe

關注近期新增或修改的 .exe、.dll 文件。

（2）檢查注冊表自啟動項

· 常見自啟動位置：

reg query 'HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run'
reg query 'HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run'
reg query 'HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce'

檢查是否有異常啟動項。

（3）檢查文件修改時間

· 查找近期修改的文件：

Get-ChildItem -Path C:\ -Recurse -ErrorAction SilentlyContinue | Where-Object { $_.LastWriteTime -gt (Get-Date).AddDays(-7) } | Select-Object FullName, LastWriteTime

- 重點關注 `System32`、`Startup` 等目錄。

（4）檢查 WMI 持久化

· 查詢 WMI 事件訂閱：

wmic /namespace:\\root\subscription path __eventfilter get name
wmic /namespace:\\root\subscription path __eventconsumer get name

- 攻擊者可能利用 WMI 實現無文件持久化。

5. 檢查網絡流量與防火墻規則

（1）檢查異常網絡連接

· **使用 **netstat：

netstat -ano | findstr LISTENING

查看是否有異常端口開放（如 4444、5555 等常見后門端口）。

· 檢查防火墻規則：

netsh advfirewall firewall show rule name=all

攻擊者可能添加規則放行惡意流量。

（2）檢查 DNS 查詢歷史

· 查看 DNS 緩存：

ipconfig /displaydns

檢查是否有可疑域名解析記錄。

（3）檢查防火墻規則

· 查看放行規則：

netsh advfirewall firewall show rule name=all

- 攻擊者可能添加規則放行 C2（命令與控制）流量。

6. 檢查日志是否被清除

攻擊者可能刪除日志掩蓋行蹤：

· 查看日志文件大小：

dir C:\Windows\System32\winevt\Logs\

如果 Security.evtx 異常小（如幾 KB），可能被清理。

· 檢查日志服務狀態：

sc query eventlog

如果服務被停止，可能是攻擊者所為。

檢查 PowerShell 日志

· 查看 Microsoft-Windows-PowerShell/Operational 日志：

· 攻擊者可能使用 PowerShell 進行橫向移動。

7. 使用專業工具進一步分析

· Autoruns（微軟 Sysinternals 工具）：檢查所有自啟動項。
· Process Explorer：分析進程的 DLL 注入情況。
· Wireshark：抓包分析異常外聯流量。
· Volatility（內存取證）：分析內存中的惡意進程。

8. 應急響應建議

1. 立即斷網：防止數據外泄或進一步入侵。
2. 備份關鍵日志：導出 Security.evtx、System.evtx 等日志。
3. 殺毒掃描：使用 Windows Defender 或專業殺軟（如 Malwarebytes）。
4. 重置密碼：更改所有管理員賬戶密碼。
5. 系統還原或重裝：如確認被入侵，建議徹底清理環境。

總結

Windows 入侵痕跡排查應覆蓋 用戶賬戶、登錄日志、進程服務、文件系統、注冊表、網絡連接、日志完整性 等多個方向。通過系統化檢查，可有效發現攻擊者的活動痕跡并采取應對措施。

本站是提供個人知識管理的網絡存儲空間，所有內容均由用戶發布，不代表本站觀點。請注意甄別內容中的聯系方式、誘導購買等信息，謹防詐騙。如發現有害或侵權內容，請點擊一鍵舉報。

轉藏分享

QQ空間 QQ好友新浪微博微信

獻花（0） +1

來自：互利互讀一輩子 > 《Windows》

舉報/認領

0條評論

發表

請遵守用戶評論公約

類似文章 更多

互利互讀一輩子

關注對話

TA的最新館藏

國網新標準來了，10kV-500kV輸變電設備交接試驗規程（Q/GDW 11447-2024 ）
「變電站電氣設備簡介」
Windows系統啟動項與服務自啟動安全檢查：揪出潛伏的“開機即啟動”威脅
Windows 注冊表安全檢查：從 “系統配置手冊” 中揪出入侵痕跡
司馬懿的后代為什么被劉裕滅族？
Windows系統入侵痕跡自查指南

喜歡該文的人也喜歡更多

熱門閱讀換一換