Windows入侵排查秘籍：锁死安全漏洞

Windows入侵排查秘籍：锁死安全漏洞1 检查系统账号安全1.1 查看服务器是否有弱口令，远程管理端口是否对公网开放1.2 查看服务器是否存在可疑账号、新增账号 1.3 结合日志，查看管理员登录时间、用户名是否存在异常2 检查异常端口、进程、启动项2.1 检查网络连接情况，是否有远程连接、可疑连接2.2 检查异常进程2.3 检查启动项、计划任务、服务

Windows入侵排查秘籍：锁死安全漏洞

1 检查系统账号安全

1.1 查看服务器是否有弱口令，远程管理端口是否对公网开放

检查方法：

据实际情况咨询相关服务器管理员。

1.2 查看服务器是否存在可疑账号、新增账号

检查方法：

打开 cmd 窗口，输入 lusrmgr.msc 命令，查看是否有新增/可疑的账号，如有管理员群组的（Administrators）里的新增账户，请立即禁用或删除。

我们通过 net user /add 来添加账号，如果末尾添加$,说明这是一个隐藏账号，通过 net user 查看是无法发现隐藏账号的，但是我们 lusrmgr.msc 打开本地用户，则可以发现隐藏用户，如果有异常用户则将其删除。

1.3 结合日志，查看管理员登录时间、用户名是否存在异常

检查方法：

a、Win+R 打开运行，输入"eventvwr.msc"，回车运行，打开"事件查看器"，点击“安全”。

b、导出 Windows 日志 -- 将所有事件另存为，利用微软官方工具 Log Parser 进行分析。 工具下载地址：https://www.microsoft.com/en-us/download/details.aspx?id=24659

LogParser.exe -i:evt "select top 100 \* from 'D:\\Security.evtx'" -o:DATAGRID

参数使用 -i:<输入源> 中间部分，sql语句 -o:<输出格式>

示例：

LogParser.exe -i:evt "select top 100 \* from 'D:\\Security\_20240726.evtx'" -o:DATAGRID

2 检查异常端口、进程、启动项

2.1 检查网络连接情况，是否有远程连接、可疑连接

检查方法：

1. 使用 netstat -ano 命令查看目前的网络连接，定位可疑的 ESTABLISHED

ESTABLISHED：完成连接并正在进行数据通信的状态。 LISTENING：表示处于侦听状态，就是说该端口是开放的，等待连接，但还没有被连接。 CLOSE_WAIT：对方主动关闭连接或者网络异常导致连接中断。 TIME_WAIT：我方主动调用close()断开连接，收到对方确认后状态变为TIME_WAIT。

2. 根据 netstat 命令定位出的 PID 编号，再通过 tasklist 命令进行进程定位 tasklist | findstr "PID"

可以进一步去任务管理器中确认（不一定能找到）

2.2 检查异常进程

检查方法：

依据进程名称查看是否有可疑进程，比如xxxxx.exe可能是木马。 tasklist /svc

1. 开始 -- 运行 -- 输入 msinfo32 命令，依次点击 "软件环境 -- 正在运行任务" 就可以查看到进程的详细信息，比如进程路径、进程ID、文件创建日期以及启动时间等。

2. 通过微软官方提供的 Process Explorer 等工具进行排查，工具下载地址：https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer

3. 查看可疑的进程及其子进程，可以通过观察以下内容 ：没有签名验证信息的进程、没有描述信息的进程、进程的属主、进程的路径是否合法、CPU或内存资源占用长时间过高的进程（比如挖矿）

常用命令：

a. 查看端口对应的 PID：netstat -ano | findstr "port"

b. 查看进程对应的 PID：任务管理器 -- 查看 -- 选择列 -- PID 或者 tasklist | findstr "PID"

c. 查看进程对应的程序位置： 任务管理器 -- 选择对应进程 -- 右键打开文件位置/运行输入wmic，cmd 界面输入 process

d. tasklist /svc 进程 -- PID -- 服务

f. 查看Windows服务所对应的端口： %systemroot%/system32/drivers/etc/services（一般 %systemroot% 就是 C:\Windows 路径）

2.3 检查启动项、计划任务、服务

检查服务器是否有异常的启动项

检查方法：

1. 登录服务器，单击【开始】>【所有程序】>【启动】，默认情况下此目录在是一个空目录，确认是否有非业务程序在该目录下。

2. 单击开始菜单 >【运行】，输入 msconfig ，查看是否存在命名异常的启动项目，是则取消勾选命名异常的启动项目，并到命令中显示的路径删除文件。

3. 单击【开始】>【运行】，输入 regedit，打开注册表，查看开机启动项是否正常，特别注意如下三个注册表项： HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

检查右侧是否有启动异常的项目，如有请删除，并建议安装杀毒软件进行病毒查杀，清除残留病毒或木马。

4. 利用安全软件查看启动项、开机时间管理等。

5. 组策略，运行 gpedit.msc

PS：因为公众号平台更改了推送规则，如果不想错过内容，记得读完点一下“在看”，加个“星标”，这样每次新文章推送才会第一时间出现在你的订阅列表里。点“在看”支持我吧!

👍 点赞，你的认可是我创作的动力！

⭐️ 收藏，你的青睐是我努力的方向！

✏️ 评论，你的意见是我进步的财富！