Windows应急响应方法论

1.应急响应基本原则

1.1.及时止损&防止扩散

及时止损：对内拔网线，对外封IP

对于已经失陷的主机来说，如果主机是核心业务服务器，不适合拔网线，只能在防火墙上对IP进行封禁

1.2.保留现场环境与客户沟通

事前沟通，明确信息，什么类型的应急（APT，勒索，挖矿，后门，DDOS），什么主机（主机所处环境），有什么异常特征

1. Windows入侵排查

应急响应就是要站在攻击者的角度进行排查，攻击者拿到一台主机会如何攻击，一般都是先信息收集—>提权—>维权—>横向，那么我们应急响应的思路也应该是按照攻击者的思路来进行应急

2.主机信息收集

2.1.基础信息收集

1

msinfo32            //查看服务器的系统信息

主要看软件环境：环境变量/启动项/网络连接/服务等等情况

2.2.网络信息收集

排查是否有恶意外联IP地址，将可疑的IP地址批量放到微步社区查询，重点关注云主机IP

1
2


netstat -ano
netstat -rn            //查看路由表

根据PID查找文件对应位置

1
2


wmic process where processid=28284 get ExecutablePath
(Powershell) Get-Process -Id 28284 | Select-Object Path

2.3.进程信息排查

1
2
3
4
5


tasklist /svc                    //查看进程
tasklist /svc |findstr 17716     //查看pid对应的进程信息
taskkill /f /pid 17716           //杀掉进程

任务管理器

1
2


wmic process get commandline /value   //查看所有进程详细信息
wmic process where processid=17260 get commandline /value //查看pid为17260的详细信息

2.4.时间线排查

文件落地时间，服务启动时间（在这台主机没有重启的情况下），也可以看文件创建时间，木马查杀时间，网络流量与日志记录的日志时间推测一个大概的时间

确定入侵时间线是很重要的,使用evertthing根据入侵事件确定目录下修改或创建的exe文件

1

C:\Users\24767\Desktop datemodified:2025/06/25..2025/06/26 ext:exe

3.后门排查

3.1.恶意用户排查

隐藏用户/克隆用户

1
2
3
4
5
6


wmic useraccount get Name /value          //一条命令就够了
wmic useraccount get * /value

net user krbtgt /add       //最危险的地方就是最安全的地方，krbtgt是域内的票据账号

查看注册表

3.2.启动项排查

什么是启动项：注册表下的RUN子键(regedit)/服务启动项(Services.msc)/本地组策略启动项(gpedit.msc)/计划任务

注册表启动项

1
2
3


regedit
计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
所有用户登录都会触发

3.3.服务项分析排查

创建服务首先需要高权限用户才能创建

1
2
3
4


命令是用于在 Windows 中创建一个名为 WindowsDefind 的服务，其可执行文件位于桌面，
显示名称模仿了 Windows Defender，并设置为开机自动启动s。

sc create WindowsDefind binpath="C:\Users\Administrator\Desktop\WindowsDefind.exe" displayname="Micrsoft Windows Defind" depend=tcpip start=auto

此时使用services.msc可以查看到具体的服务信息，但是没有描述

1

sc description WindowsDefind "Windows Defender 高级威胁防护服务通过监视和报告计算机上发生的安全事件来防范高级威胁。"

这谁能知道这个服务是恶意服务呢

1

sc start WindowsDefind       //启动服务

那么该如何排查呢？

先找恶意文件—在去看是否创建恶意服务

找的恶意文件的名称，去注册表中去搜索对应的名称

此时就可以搜索到恶意文件路径和服务名称

3.4.计划任务排查

1
2
3


schtasks /create /tn "Mirage" /tr "C:\Windows\system32\cmd.exe" /sc minute /mo 1  //创建计划任务

schtasks /query /tn "Mirage" /v /fo:list      //查找名称为test的计划任务并格式化输出