Windows应急响应一般思路(二)

Neolock2025-08-23 13:09

进程排查

进程(Process)是计算机中的程序关于某数据集合上的一次运行活动,是系统进行资源分配和调度的基本单位,是操作系统结构的基础

无论是在Windows系统还是Linux系统中,主机在感染恶意程序后,恶意程序都会启动相应的进程,来完成相关的恶意操作

Windows进程排查

对于Windows系统中的进程排查,主要是找到

  • 恶意进程的PID
  • 程序路径
  • PPID(PID的父进程)
  • 程序加载的DLL

对于进程的排查,一般有如下几种方法

任务管理器

比较直观的方法是通过【任务管理器】查看可疑程序,但是需要在打开【任务管理器】窗口后,添加【命令行】和【映射路径名称】等进程页列,以方便获取更多进程信息

tasklist

在命令行中输入【tasklist】命令,可显示运行在计算机中的所有进程,可查看进程的映像名称、PID、会话名等信息

【tasklist】命令添加特定参数,还可以查看每个进程提供的服务

  • 添加svc参数,可以显示每个进程和服务的对应情况
  • 输入【tasklist /m】命令查询进程加载的恶意进程
  • 如果要想查询特定DLL的调用情况,可以使用命令【tasklist /m DLL名称】

netstat

在命令行中输入【netstat】命令,可显示网络连接的信息,包括活动的TCP连接、路由器和网络接口信息,相关参数如下

  • -a:显示所有连接和侦听端口
  • -b:显示在创建每个连接或侦听端口时涉及的可执行程序
  • -n:以数字形式显示地址和端口号
  • -o:显示拥有的与每个连接关联的进程ID
  • -p proto:显示proto指定的协议的连接

常见的网络状态说明如下:

  • LISTENING:侦听状态
  • ESTABLISHED:建立连接
  • CLOSE WAIT:对方主动关闭连接或网络异常导致连接中断

在排查过程中,一般会使用【netstat -ano | findstr "ESTABLISHED"】命令查看目前的网络连接,定位可疑的ESTABLISHED

根据netstat里面的pid,可以再结合tasklist命令进行进程查询tasklist | findstr "PID"

注意如果攻击者做了进程迁移,这里可能搜不到对应进程

wmic

使用【wmic】命令进行查询

  • 获取系统进程信息: wmic process
  • 根据应用程序查找PID: wmic process where name="cmd.exe" get processid, executablepath, name
  • 根据PID查找应用程序: wmic process where processid="4296" get executablepath, name
  • 以 CSV格式来显示进程的名称、父进程ID、进程ID:wmic process get name,parentprocessid,processid/format :csv

其他类似命令如下:

  • wmic process get ExecutablePath,processid/format: csv
    • 以csv格式来显示进程路径、进程ID信息
  • wmic process get name,ExecutablePath,processid,parentprocessid/format: csv | findstr /I "appdata"
    • 以csv格式来显示进程的名称、进程路径、进程ID、父进程D信息
  • wmic process where processid=[PID] get parentprocessid
    • 以PID的值作为条件来获取其父进程的PID情况
  • wmic process where processid=[PID] get commandline
    • 以PID的值作为条件来获取其命令行
  • wmic process where name="malware.exe" call terminate
    • 删除"malware.exe"恶意程序的进程
  • wmic process where processid=[PID] delete
    • 删除PID为某值的进程

进程时间

WINDOWS可以借助第三方工具Process Explorer排查

进程资源管理器 - Sysinternals | Microsoft Learn

服务排查

服务可以理解为运行在后台的进程

这些服务可以在计算机启动时自动启动,也可以暂停和重新启动,而且不显示任何用户界面

服务非常适合在服务器上使用,通常在为了不影响在同一台计算机上工作的其他用户,且需要长时间运行功能时使用

在应急响应排查过程中,服务作为一种运行在后台的进程,是恶意软件常用的驻留方法

Windows服务排查

图形化方法

打开【运行】对话框,输入【services.msc】命令,可打开【服务】窗口,查看所有的服务项,包括服务的名称、描述、状态等

命令方法

  • 查看当前运行的服务: net start
热门推荐
01UV安装并设置国内源02【踩坑笔记】50系显卡适配的 PyTorch 安装03KGG转MP3工具|非KGM文件|解密音频04Qwen3-Coder 快速上手教程 | Qwen Code + Claude Code05蜘蛛磁力 搜索引擎大全,如何使用蜘蛛磁力查找磁力链接06Claude Code VSCode集成开发指南:AI编程助手完整配置07DeepSeek更新!速览DeepSeek V3.1新特性082025最新国内服务器可用docker源仓库地址大全(2025年8月更新)09【2025.08.06最新版】Android Studio下载、安装及配置记录(自动下载sdk)10NVIDIA显卡驱动、CUDA、cuDNN 和 TensorRT 版本匹配指南