当怀疑 Windows 系统可能被入侵时,需要从多个方向进行排查,以发现攻击者的活动痕迹。以下是主要的排查方向及关键检查点:
1. 检查可疑用户账户
攻击者可能创建隐藏账户或提升权限:
-
• 方法 1:使用命令查看用户
net user
检查是否有异常账户(如默认不存在的 admin$、backdoor 等)。
-
• 方法 2:查看隐藏账户
net user 可疑用户名
如果账户存在但 net user 不显示,可能是注册表隐藏账户。
-
• 方法 3:检查本地管理员组
net localgroup administrators
查看是否有异常用户被加入管理员组。
-
• 方法 4:检查远程桌面用户
net localgroup "Remote Desktop Users"
攻击者可能添加自己以便远程控制。
2. 检查异常登录记录
(1)查看近期登录事件
-
• 使用事件查看器( eventvwr.msc):-
• Windows 登录日志:
Windows 日志 → 安全
筛选事件 ID:-
• 4624(成功登录) -
• 4625(失败登录) -
• 4672(特权登录)
-
-
• 重点关注: -
• 非正常时间的登录(如半夜)。 -
• 来自异常 IP 的登录(如国外 IP)。 -
• 大量失败的登录尝试(可能为暴力破解)。
-
-
-
• 使用 last命令(需安装 Sysinternals Suite)
last -f C:\Windows\System32\winevt\Logs\Security.evtx
查看最近登录记录。
(2)检查当前会话
-
• 查看当前登录用户:
query user
如果发现未知会话,可能是攻击者保持的 RDP 连接。
-
• 检查网络连接( netstat):
netstat -ano | findstr ESTABLISHED
查看是否有异常 IP 连接(如境外 IP)。
3. 检查异常进程和服务
(1)查看可疑进程
-
• 任务管理器( Ctrl+Shift+Esc):-
• 检查高 CPU/内存占用的未知进程。 -
• 右键可疑进程 → 打开文件所在位置,检查是否为恶意文件。
-
-
• 使用 tasklist命令:
tasklist /svc
查看进程关联的服务。
(2)检查恶意服务
-
• 查看所有服务:
sc query state= all
或
wmic service get name,displayname,pathname,startmode
检查是否有异常服务(如随机名称、路径在 Temp 目录)。
-
• 检查计划任务:
schtasks /query /fo LIST /v
攻击者可能创建定时任务维持权限。
4. 检查异常文件与注册表
(1)查找近期修改的可执行文件
-
• 查找 %Temp%、%AppData%** 中的可疑文件**:
dir /s /od C:\Users\%username%\AppData\Local\Temp\*.exe
-
• 检查系统目录(如 System32):
dir /a /s /od C:\Windows\System32\*.exe
关注近期新增或修改的 .exe、.dll 文件。
(2)检查注册表自启动项
-
• 常见自启动位置:
reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
reg query "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce"
检查是否有异常启动项。
(3)检查文件修改时间
-
• 查找近期修改的文件:
Get-ChildItem -Path C:\ -Recurse -ErrorAction SilentlyContinue | Where-Object { $_.LastWriteTime -gt (Get-Date).AddDays(-7) } | Select-Object FullName, LastWriteTime
- 重点关注 `System32`、`Startup` 等目录。
(4)检查 WMI 持久化
-
• 查询 WMI 事件订阅:
wmic /namespace:\\root\subscription path __eventfilter get name
wmic /namespace:\\root\subscription path __eventconsumer get name
- 攻击者可能利用 WMI 实现无文件持久化。
5. 检查网络流量与防火墙规则
(1)检查异常网络连接
-
• **使用 ** netstat:
netstat -ano | findstr LISTENING
查看是否有异常端口开放(如 4444、5555 等常见后门端口)。
-
• 检查防火墙规则:
netsh advfirewall firewall show rule name=all
攻击者可能添加规则放行恶意流量。
(2)检查 DNS 查询历史
-
• 查看 DNS 缓存:
ipconfig /displaydns
检查是否有可疑域名解析记录。
(3)检查防火墙规则
-
• 查看放行规则:
netsh advfirewall firewall show rule name=all
- 攻击者可能添加规则放行 C2(命令与控制)流量。
6. 检查日志是否被清除
攻击者可能删除日志掩盖行踪:
-
• 查看日志文件大小:
dir C:\Windows\System32\winevt\Logs\
如果 Security.evtx 异常小(如几 KB),可能被清理。
-
• 检查日志服务状态:
sc query eventlog
如果服务被停止,可能是攻击者所为。
检查 PowerShell 日志
-
• 查看 Microsoft-Windows-PowerShell/Operational日志:-
• 攻击者可能使用 PowerShell 进行横向移动。
-
7. 使用专业工具进一步分析
-
• Autoruns(微软 Sysinternals 工具):检查所有自启动项。 -
• Process Explorer:分析进程的 DLL 注入情况。 -
• Wireshark:抓包分析异常外联流量。 -
• Volatility(内存取证):分析内存中的恶意进程。
8. 应急响应建议
-
1. 立即断网:防止数据外泄或进一步入侵。 -
2. 备份关键日志:导出 Security.evtx、System.evtx等日志。 -
3. 杀毒扫描:使用 Windows Defender或专业杀软(如 Malwarebytes)。 -
4. 重置密码:更改所有管理员账户密码。 -
5. 系统还原或重装:如确认被入侵,建议彻底清理环境。
总结
Windows 入侵痕迹排查应覆盖 用户账户、登录日志、进程服务、文件系统、注册表、网络连接、日志完整性 等多个方向。通过系统化检查,可有效发现攻击者的活动痕迹并采取应对措施。
本站文章均为91数据恢复专业数据团队根据公司业务案例,数据恢复工作中整理发表,部分内容摘自权威资料,书籍,或网络原创文章,如有版权纠纷或者违规问题,请即刻联系我们删除,我们欢迎您分享,引用和转载,我们谢绝直接复制和抄袭,感谢!
联络方式:
客服热线:400-1050-918
技术顾问:133-188-44580 166-6622-5144
邮箱:91huifu@91huifu.com
微信公众号 
售前工程师1 
售前工程师2 
粤公网安备 44030502006563号