信息收集(快速定位入口)
1.系统基础信息
执行
systeminfo获取 OS 版本、补丁状态、运行时长,识别未修复的高危漏洞(如永恒之蓝对应的 MS17-010)。
通过
msinfo32查看硬件配置和加载驱动,排查异常模块。
2.用户与权限
显性账户:
net user和lusrmgr.msc检查新增账号(如伪装成 "$system" 的克隆账户)。隐藏账户:
注册表路径
HKEY_LOCAL_MACHINE\SAM\Domains\Account\Users\Names对比用户数量。使用
wmic useraccount get name,Sid检测 SID 重复的克隆账号。
特权组:
net localgroup administrators确认管理员组权限归属。
3.进程与网络
可疑进程:
tasklist /svc查看进程关联服务,结合netstat -ano定位异常 ESTABLISHED 连接(如外联 C2 服务器的 443 端口)。高 CPU/内存占用进程用
Process Explorer分析线程栈和 DLL 注入。
端口映射:
netstat -anob显示进程 PID 及路径,排查C:\Windows\Temp下的恶意二进制文件。
持久化机制排查(攻击者驻留手段)
1.自启动项
注册表:检查
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run中的异常值(如伪装的 "Update" 任务)。系统目录:扫描启动文件夹
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup中的快捷方式或脚本。服务:
services.msc查看服务属性,重点检查 "ImagePath" 指向非常规路径的服务。
2.计划任务
schtasks /query /fo LIST /v列出任务详情,关注以 SYSTEM 权限运行的异常任务(如定时下载 PowerShell 脚本)。
图形化检查:
taskschd.msc查看任务操作中的命令参数。
3.WMI 与 DLL 劫持
使用
Autoruns检查 WMI 订阅和 AppInit_DLLs 键值,排查无签名的 DLL。
痕迹分析与取证
1.文件系统痕迹
时间反序:
dir /tc查看文件属性,若修改时间早于创建时间(常见于 Webshell 篡改)则标记可疑。临时目录:检查
%TEMP%和%AppData%下的 PE 文件(如svchost.exe的恶意变种)。Recent 文件夹:
%UserProfile%\Recent分析近期访问文件,定位攻击者操作痕迹。
2.日志深度挖掘
安全日志(Event ID 筛选):
Web 日志:检索 Apache/Nginx 日志中的路径遍历 (
../)、SQL 注入 (' OR 1=1--) 等攻击特征。
工具链辅助(自动化提升效率)
1.本地化扫描工具
D 盾:检测 Webshell 和隐藏账户,支持注册表深度扫描。
火绒剑:分析进程行为链,追踪恶意代码注入。
Autoruns:全面检查自启动项、驱动、浏览器插件。
2.在线沙箱与威胁情报
上传可疑文件至 VirusTotal 或 微步云沙箱,获取多引擎检测报告和关联 APT 组织情报。
关键响应动作
1.立即隔离
断网:禁用网卡或防火墙阻断出站(
netsh advfirewall set allprofiles state on)。进程冻结:暂停恶意进程(
taskkill /PID <pid> /F),避免触发自毁机制。
2.清除与恢复
删除持久化项:清理注册表、任务计划中的恶意条目。
补丁修复:针对漏洞部署热补丁(如未打补丁的 ZeroLogon)。
备份还原:使用 Veeam 从干净备份恢复加密数据。
3.加固措施
关闭高危端口:禁用 135/445 等端口(
netsh firewall set portopening TCP 445 disable)。强化认证:启用 LAPS 管理本地管理员密码,配置网络级别身份验证(NLA)。