Windows系统入侵痕迹自查指南

net user

检查是否有异常账户（如默认不存在的 admin$、backdoor 等）。
• 方法 2：查看隐藏账户

net user 可疑用户名

如果账户存在但 net user 不显示，可能是注册表隐藏账户。
• 方法 3：检查本地管理员组

net localgroup administrators

查看是否有异常用户被加入管理员组。
• 方法 4：检查远程桌面用户

net localgroup "Remote Desktop Users"

攻击者可能添加自己以便远程控制。

last -f C:\Windows\System32\winevt\Logs\Security.evtx

查看最近登录记录。

（2）检查当前会话
• 查看当前登录用户：

query user

如果发现未知会话，可能是攻击者保持的 RDP 连接。

• 检查网络连接（netstat）：

netstat -ano | findstr ESTABLISHED

查看是否有异常 IP 连接（如境外 IP）。

• 任务管理器（Ctrl+Shift+Esc）：

• 检查高 CPU/内存占用的未知进程。
• 右键可疑进程 → 打开文件所在位置，检查是否为恶意文件。

• 使用 tasklist 命令：

tasklist /svc

查看进程关联的服务。

（2）检查恶意服务

• 查看所有服务：

sc query state= all

或

wmic service get name,displayname,pathname,startmode

检查是否有异常服务（如随机名称、路径在 Temp 目录）。

• 检查计划任务：

schtasks /query /fo LIST /v

攻击者可能创建定时任务维持权限。

（1）查找近期修改的可执行文件

• 查找 %Temp%、%AppData% 中的可疑文件：

dir /s /od C:\Users\%username%\AppData\Local\Temp\*.exe

• 检查系统目录（如 System32）：

dir /a /s /od C:\Windows\System32\*.exe

关注近期新增或修改的 .exe、.dll 文件。

（2）检查注册表自启动项• 常见自启动位置：

reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
reg query "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce"

检查是否有异常启动项。

（3）检查文件修改时间
• 查找近期修改的文件：

Get-ChildItem -Path C:\ -Recurse -ErrorAction SilentlyContinue | Where-Object { $_.LastWriteTime -gt (Get-Date).AddDays(-7) } | Select-Object FullName, LastWriteTime

- 重点关注 `System32`、`Startup` 等目录。

- （4）检查 WMI 持久化
- • 查询 WMI 事件订阅：

wmic /namespace:\\root\subscription path __eventfilter get name
wmic /namespace:\\root\subscription path __eventconsumer get name

-攻击者可能利用 WMI 实现无文件持久化。

（1）检查异常网络连接
• 使用 netstat：

netstat -ano | findstr LISTENING

查看是否有异常端口开放（如 4444、5555 等常见后门端口）。
• 检查防火墙规则：

netsh advfirewall firewall show rule name=all

攻击者可能添加规则放行恶意流量。

（2）检查 DNS 查询历史
• 查看 DNS 缓存：

ipconfig /displaydns

检查是否有可疑域名解析记录。

（3）检查防火墙规则
• 查看放行规则：

netsh advfirewall firewall show rule name=all

攻击者可能添加规则放行 C2（命令与控制）流量。

攻击者可能删除日志掩盖行踪：
• 查看日志文件大小：

dir C:\Windows\System32\winevt\Logs\

如果 Security.evtx 异常小（如几 KB），可能被清理。
• 检查日志服务状态：

sc query eventlog

如果服务被停止，可能是攻击者所为。
检查 PowerShell 日志
• 查看 Microsoft-Windows-PowerShell/Operational 日志：
• 攻击者可能使用 PowerShell 进行横向移动。

• Autoruns（微软 Sysinternals 工具）：检查所有自启动项。
• Process Explorer：分析进程的 DLL 注入情况。
• Wireshark：抓包分析异常外联流量。
• Volatility（内存取证）：分析内存中的恶意进程。