當懷疑 Windows 系統可能被入侵時，需要從多個方向進行排查，以發現攻擊者的活動痕跡。以下是主要的排查方向及關鍵檢查點：

1. 檢查可疑用戶賬戶

攻擊者可能創建隱藏賬戶或提升權限：

• ? 方法 1：使用命令查看用戶

net user

檢查是否有異常賬戶（如默認不存在的 admin$、backdoor 等）。

• ? 方法 2：查看隱藏賬戶

net user 可疑用戶名

如果賬戶存在但 net user 不顯示，可能是注冊表隱藏賬戶。

• ? 方法 3：檢查本地管理員組

net localgroup administrators

查看是否有異常用戶被加入管理員組。

• ? 方法 4：檢查遠程桌面用戶

net localgroup "Remote Desktop Users"

攻擊者可能添加自己以便遠程控制。

2. 檢查異常登錄記錄

（1）查看近期登錄事件

• ? 使用事件查看器（eventvwr.msc）：
• ? Windows 登錄日志：
  Windows 日志 → 安全
  篩選事件 ID：
• ? 4624（成功登錄）
• ? 4625（失敗登錄）
• ? 4672（特權登錄）
• ? 重點關注：
• ? 非正常時間的登錄（如半夜）。
• ? 來自異常 IP 的登錄（如國外 IP）。
• ? 大量失敗的登錄嘗試（可能為暴力破解）。
• ? 使用 last 命令（需安裝 Sysinternals Suite）

last -f C:\Windows\System32\winevt\Logs\Security.evtx

查看最近登錄記錄。

（2）檢查當前會話

• ? 查看當前登錄用戶：

query user

如果發現未知會話，可能是攻擊者保持的 RDP 連接。

• ? 檢查網絡連接（netstat）：

netstat -ano | findstr ESTABLISHED

查看是否有異常 IP 連接（如境外 IP）。

3. 檢查異常進程和服務

（1）查看可疑進程

• ? 任務管理器（Ctrl+Shift+Esc）：
• ? 檢查高 CPU/內存占用的未知進程。
• ? 右鍵可疑進程 → 打開文件所在位置，檢查是否為惡意文件。
• ? 使用 tasklist 命令：

tasklist /svc

查看進程關聯的服務。

（2）檢查惡意服務

• ? 查看所有服務：

sc query state= all

或

wmic service get name,displayname,pathname,startmode

檢查是否有異常服務（如隨機名稱、路徑在 Temp 目錄）。

• ? 檢查計劃任務：

schtasks /query /fo LIST /v

攻擊者可能創建定時任務維持權限。

4. 檢查異常文件與注冊表

（1）查找近期修改的可執行文件

• ? 查找 %Temp%、%AppData%** 中的可疑文件**：

dir /s /od C:\Users\%username%\AppData\Local\Temp\*.exe

• ? 檢查系統目錄（如 System32）：

dir /a /s /od C:\Windows\System32\*.exe

關注近期新增或修改的 .exe、.dll 文件。

（2）檢查注冊表自啟動項

• ? 常見自啟動位置：

reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
reg query "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce"

檢查是否有異常啟動項。

（3）檢查文件修改時間

• ? 查找近期修改的文件：

Get-ChildItem -Path C:\ -Recurse -ErrorAction SilentlyContinue | Where-Object { $_.LastWriteTime -gt (Get-Date).AddDays(-7) } | Select-Object FullName, LastWriteTime

- 重點關注 `System32`、`Startup` 等目錄。

（4）檢查 WMI 持久化

• ? 查詢 WMI 事件訂閱：

wmic /namespace:\\root\subscription path __eventfilter get name
wmic /namespace:\\root\subscription path __eventconsumer get name

- 攻擊者可能利用 WMI 實現無文件持久化。

5. 檢查網絡流量與防火墻規則

（1）檢查異常網絡連接

• ? **使用 **netstat：

netstat -ano | findstr LISTENING

查看是否有異常端口開放（如 4444、5555 等常見后門端口）。

• ? 檢查防火墻規則：

netsh advfirewall firewall show rule name=all

攻擊者可能添加規則放行惡意流量。

（2）檢查 DNS 查詢歷史

• ? 查看 DNS 緩存：

ipconfig /displaydns

檢查是否有可疑域名解析記錄。

（3）檢查防火墻規則

• ? 查看放行規則：

netsh advfirewall firewall show rule name=all

- 攻擊者可能添加規則放行 C2（命令與控制）流量。

6. 檢查日志是否被清除

攻擊者可能刪除日志掩蓋行蹤：

• ? 查看日志文件大小：

dir C:\Windows\System32\winevt\Logs\

如果 Security.evtx 異常小（如幾 KB），可能被清理。

• ? 檢查日志服務狀態：

sc query eventlog

如果服務被停止，可能是攻擊者所為。

檢查 PowerShell 日志

• ? 查看 Microsoft-Windows-PowerShell/Operational 日志：
• ? 攻擊者可能使用 PowerShell 進行橫向移動。

7. 使用專業工具進一步分析

• ? Autoruns（微軟 Sysinternals 工具）：檢查所有自啟動項。
• ? Process Explorer：分析進程的 DLL 注入情況。
• ? Wireshark：抓包分析異常外聯流量。
• ? Volatility（內存取證）：分析內存中的惡意進程。

8. 應急響應建議

1. 1. 立即斷網：防止數據外泄或進一步入侵。
2. 2. 備份關鍵日志：導出 Security.evtx、System.evtx 等日志。
3. 3. 殺毒掃描：使用 Windows Defender 或專業殺軟（如 Malwarebytes）。
4. 4. 重置密碼：更改所有管理員賬戶密碼。
5. 5. 系統還原或重裝：如確認被入侵，建議徹底清理環境。

總結

Windows 入侵痕跡排查應覆蓋 用戶賬戶、登錄日志、進程服務、文件系統、注冊表、網絡連接、日志完整性 等多個方向。通過系統化檢查，可有效發現攻擊者的活動痕跡并采取應對措施。

--END--