Windows系统入侵痕迹自查指南：如何检查Windows系统是否遭到入侵

第一阶段：快速威胁评估

这些检查可以快速给出是否存在明显入侵迹象的结论。

1. 检查网络连接

排查是否存在未知的、异常的对外连接。

· 命令：打开CMD或PowerShell，执行：

```bash

netstat -ano | findstr ESTABLISHED

```

· -a 显示所有连接和监听端口。

· -n 以数字形式显示地址和端口号（更快，且能避免DNS欺骗）。

· -o 显示每个连接所属的进程PID。

· 查看内容：重点检查ESTABLISHED状态的连接。查看远程地址（Foreign Address）是否是未知的、可疑的IP或域名（尤其是境外IP）。记下可疑连接的PID。

2. 检查异常进程

快速查找占用资源过高或看起来可疑的进程。

· 操作：打开任务管理器（Ctrl+Shift+Esc），切换到“详细信息”选项卡。

· 排查点：

· CPU/内存占用异常：无端由地占用极高的资源。

· 可疑进程名：模仿系统进程的名称（如svch0st.exe、expl0rer.exe、lsass.exe（多个））、随机字符串名称（如xjdof83.exe）、位于非正常目录（如C:\Users\、C:\Windows\Temp\）的系统进程。

· 右键选择“打开文件所在的位置”：进一步确认文件路径是否合法。

3. 检查最近登录的用户

查看是否有陌生账户登录或异常登录时间。

· 命令：

```bash

net user

# 查看所有用户账户

query user

# 查看当前登录到本机的用户会话（对服务器尤其有用）

```

4. 检查系统日志中的明显错误

快速查看安全日志中的登录失败/成功记录。

· 操作：运行 eventvwr.msc 打开事件查看器。

· 快速导航：Windows 日志 -> 安全。

· 筛选事件ID：

· 4624：登录成功。检查是否有异常时间、异常账号的成功登录。

· 4625：登录失败。检查是否有大量的暴力破解尝试。

· 4672：使用超级用户（如Administrator）权限登录成功。需要特别关注。

第二阶段：深入痕迹排查

如果快速评估发现疑点，或仍需进一步确认，进行以下深入检查。

1. 进程与启动项深度分析

· 使用PowerShell获取更详细的进程信息：

```powershell

Get-WmiObject -Class Win32_Process | Select-Object Name, ProcessId. Path, CommandLine | Format-List

```

重点关注CommandLine：很多恶意进程会通过合法的程序（如powershell.exe、mshta.exe、wscript.exe）执行恶意命令，查看命令行参数是发现它们的关键。

· 检查启动项：

· 命令：msconfig（系统配置）或 taskmgr（任务管理器 -> 启动选项卡）。

· 更多位置：

· 注册表：HKCU\Software\Microsoft\Windows\CurrentVersion\Run， HKLM\Software\Microsoft\Windows\CurrentVersion\Run

· 开始菜单启动文件夹：C:\Users\[用户名]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

· 计划任务：运行taskschd.msc，仔细检查是否存在名称奇怪、执行可疑脚本或程序的任务。

2. 文件系统痕迹

· 查找最近修改的可执行文件：

· 使用Everything等工具或在PowerShell中，按修改时间排序，重点关注C:\根目录、Windows\Temp、Users\[用户名]\AppData\Local\Temp等临时目录下的.exe, .dll, .vbs, .ps1文件。

· 检查隐藏文件：确保资源管理器已设置“显示隐藏的文件和文件夹”以及“显示受保护的操作系统文件”。

· 重点目录：

· C:\Windows\System32、C:\Windows\SysWOW64 (查找新出现的或异常时间的dll/exe)

· C:\Users\[用户名]\AppData\Local\Microsoft\Windows\ (各种缓存和历史记录)

· C:\Perflogs、C:\Intel (攻击者常用来存放恶意文件)

3. 网络与防火墙配置

· 检查防火墙规则：是否有异常规则开放了端口或允许了某个程序连出。

· 操作：wf.msc (高级安全Windows防火墙) -> 查看“入站规则”和“出站规则”。

· 检查Hosts文件：攻击者可能会修改hosts文件来劫持流量或阻止更新。

· 路径：C:\Windows\System32\drivers\etc\hosts

· 用记事本打开，检查是否有异常的域名映射。

4. 系统与安全日志深度分析

· 事件查看器 (eventvwr.msc) 是关键。仔细筛选以下日志：

· 安全日志：

· 事件ID 4688：创建了新进程。记录下了进程的创建者和命令行，是溯源的关键。

· 事件ID 7045：系统服务被安装。恶意软件常以服务形式驻留。

· 系统日志：关注服务启动失败、驱动异常等信息。

· PowerShell操作日志：默认不开启，但如果开启，是发现无文件攻击的利器。

· 路径：应用程序和服务日志\Microsoft\Windows\PowerShell\Operational

· 事件ID 4104：记录执行的脚本块内容。

5. 账户与权限检查

· 检查用户组：特别是管理员组。

```bash

net localgroup administrators

```

查看是否有未知账户被添加进来。

· 检查隐藏账户：查看注册表HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names，但需要特殊权限，通常使用工具（如D盾、AutoRuns）检查更方便。

第三阶段：应急响应与加固

如果确认被入侵，立即采取行动。

1. 隔离系统：立即断开该机器的网络（拔网线/禁用适配器），防止进一步扩散或数据外泄。

2. 保存证据：

· 导出系统日志（安全、系统、应用日志）。

· 对可疑进程进行内存转储（使用Procdump等工具）。

· 备份可疑文件（不要直接在上面分析，先复制出来）。

3. 清除与恢复：

· 终止恶意进程。

· 删除恶意文件（确保你有备份）。

· 清理恶意启动项、计划任务、服务。

· 重置所有用户密码，特别是管理员和具有高级权限的服务账户。

· 检查并修复防火墙规则和Hosts文件。

4. 溯源与加固：

· 分析漏洞入口（弱口令？未打补丁？Web漏洞？），并修复它。

· 安装/更新杀毒软件，进行全盘扫描。

· 考虑使用微软的Malware Protection Center (MPC) 提供的专门工具（如MSERT）进行扫描。

· 安装系统更新补丁。