文章总结： 文档记录了企业FQ行为排查过程，通过自研脚本检测代理注册表、虚拟网卡、进程及DNS缓存进行初筛，结合人工核查浏览器插件与日志，成功定位一名员工使用Clash等工具违规外联。文章总结了排查要点并强调了自动化脚本在取证中的辅助价值。 综合评分： 80 文章分类： 应急响应,实战经验,安全工具

一次企业FQ行为目标排查记录

原创

We12

安全info

2025年12月31日 17:15 四川

一、排查背景

XX单位收到监管部门通报，指出单位网络存在疑似FQ行为，违反网络安全合规要求。为了找出目标🎯，让博主帮忙到现场进行排查。博主马上驱车前往目的单位……..

二、排查前期准备

企业网络环境：一共10台左右终端（windows），无其他任何网络安全设备（故无记录可查），路由器的日志也被覆盖

排查方式：采用“自动化脚本初筛+人工精查”的方式开展全方位排查工作。

前往目的地之前，为了提高效率，手搓了一个【windows终端FQ排查脚本】，主要做以下检查：

a. 系统代理注册表检查

脚本读取注册表路径“Software\Microsoft\Windows\CurrentVersion\Internet Settings”下的“ProxyEnable”“ProxyServer”键值，排查终端手动代理配置；如代理地址为127.0.0.1:7890。

b. 虚拟网卡驱动检查 (TUN/TAP)

扫描发现其存在“Wintun”虚拟网卡（WireGuard VPN专用），如”tap”, “tun”, “wintun”, “wireguard”, “tailscale”, “zerotier”, “cloudflare”, “vnet”, “mesh”, “proton”等。

c. 后台运行进程检查

检查后台运行进程；如”clxxh”, “v2xxy”, “xxxy”, “shxxxxks”, “ssxxxal”, “txxxn”, “qxxxy”, “nxxxy”, “sxxx”, “hxxxia”, “vxxxet”, “sxxge”, “prxxxier”等

d. 本地代理端口监听检查

脚本检测终端端口如”7890″: “Clash”, “1080”: “SS/Socks5”, “10808”: “V2Ray”, “20112”: “常用VPN”, “1082”: “其它代理”等。

e. DNS 访问痕迹检查

检查DNS缓存中存在谷歌、YouTube等境X受限域名的解析记录。

三、具体排查过程

3.1 自动化脚本初筛（全终端扫描）

首先对单位所有Windows办公终端逐一运行自动化脚本，逐维度采集排查数据；

以脚本排查出的异常终端为核心，开展深度核查。

3.2 人工排查

人工对终端进行以下排查：

1. 1. 浏览器核查：打开异常终端的Chrome、Edge浏览器，发现“Proxy SwitchyOmega”代理插件，插件内保存的代理配置与注册表一致（127.0.0.1:7890），可直接切换代理访问境X网站；同时检查浏览器历史记录、下载记录，确认存在FQ工具安装包下载痕迹。
2. 2. 系统操作核查：查询终端系统日志、文件访问记录，发现近期多次下载并安装Clxxh、Wixxrd等FQ工具，在桌面、文档文件夹中找到工具配置文件备份（含境X代理节点信息），且存在工具启动快捷方式。
3. 3. 网络日志核查：提取该终端的网络连接日志，明确其通过代理工具访问境X网站的具体时间、访问地址，与DNS缓存解析记录完全匹配，形成完整证据链。

3.3 补充其他排查思路

1. 1. 网络设备日志核查：调取路由器、交换机、防火墙的访问日志，筛选近30天异常端口连接、境XIP访问记录，未发现其他终端存在类似FQ行为。
2. 2. 员工网络准入记录核查：通过单位网络准入系统，查询所有员工近期网络接入记录，未发现异常IP、异常设备接入及违规网络行为。
3. 3. 移动设备接入核查（原排查缺失）：排查单位Wi-Fi接入的移动设备（手机、平板），通过路由器后台查看设备连接日志及访问记录，未发现移动设备存在FQ行为。
4. 4. 软件安装记录核查（原排查缺失）：通过单位终端管理系统，查询所有终端近期软件安装记录，除异常终端外，其余终端未安装任何FQ相关工具。
5. 5. 注册表深度核查（原排查缺失）：对所有终端的“HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”等开机启动项注册表进行核查，未发现FQ工具设置开机自启的情况。
6. 6. 共享文件夹核查（原排查缺失）：检查单位内部共享文件夹，未发现FQ工具安装包、配置文件等共享传播痕迹。

四、排查结果

经脚本初筛与人工精查确认，本次FQ行为来源于1台员工办公电脑（使用人：XX部门XXX）。该员工通过下载安装Cxxh工具，多次访问谷歌、Yoxxbe等境X受限网站，存在明确FQ行为。

需要脚本程序的可以联系作者免费获取！！！！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全info We12《一次企业FQ行为目标排查记录》