Windows应急响应工具手册

admin 2026-07-13 05:02:56 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文档系统介绍了Windows应急响应工具的分类体系与核心工具使用,涵盖Sysinternals工具集(如ProcessMonitor、ProcessExplorer、Autoruns等)、网络分析工具(Wireshark、netstat)及文件分析工具(VirusTotal、PE-bear)。文档强调从官方渠道获取工具,并提供了具体命令示例与过滤规则,旨在帮助安全人员快速发现异常、保留证据、控制影响并追溯攻击路径。 综合评分: 85 文章分类: 应急响应,安全工具,恶意软件,网络安全,实战经验


cover_image

Windows 应急响应工具手册

原创

灰帽大于 灰帽大于

灰帽大于

2026年7月12日 20:47 河北

在小说阅读器读本章

去阅读

前言:应急响应工具的重要性

在安全事件发生后,快速、准确地获取现场信息是应急响应的关键。Windows 系统作为企业最常见的操作系统,掌握其应急响应工具体系至关重要。

应急响应核心目标:

•🔍 发现异常 – 识别入侵痕迹和异常行为•📊 保留证据 – 收集日志、内存、文件等关键证据•🛡️ 控制影响 – 阻止威胁扩散,保护关键资产•🔎 追溯溯源 – 分析攻击路径,定位攻击来源


第一章:工具分类总览

1.1 工具分类体系

Windows 应急响应工具按功能可分为以下几大类:

Windows 应急响应工具体系│├─ 📊 进程与行为分析│   ├─ Process Monitor│   ├─ Process Explorer│   ├─ Autoruns│   └─ ProcDump│├─ 🌐 网络分析│   ├─ Wireshark│   ├─ TCPView│   └─ 内置命令(netstat)│├─ 📁 文件分析│   ├─ VirusTotal│   ├─ Strings│   └─ Sigcheck│├─ 💾 内存取证│   ├─ Volatility│   ├─ DumpIt│   └─ WinPMEM│├─ 📝 日志分析│   ├─ Event Log Explorer│   ├─ LogParser│   └─ WELA│├─ 🔗 持久化检测│   ├─ Autoruns│   ├─ RegRipper│   └─ Persistence Ripper│├─ 🔬 恶意代码分析│   ├─ IDA Pro / Ghidra│   ├─ x64dbg│   └─ YARA│├─ 🧠 威胁情报│   ├─ 微步在线│   ├─ VirusTotal│   └─ MalwareBazaar│└─ 🎯 综合响应平台    ├─ Velociraptor    ├─ KAPE    ├─ Eric Zimmerman工具集    └─ CyLR

1.2 工具获取渠道

官方与可信来源:

| 来源 | 链接 | 说明 | | — | — | — | | Sysinternals | https://learn.microsoft.com/sysinternals[1] | Microsoft官方工具集 | | GitHub | https://github.com[2] | 开源工具主站 | | VirusTotal | https://www.virustotal.com[3] | 在线恶意检测 | | 微步在线 | https://x.threatbook.cn[4] | 国内威胁情报 | | Eric Zimmerman | https://ericzimmerman.github.io[5] | Windows取证工具集 |

⚠️ 安全提示:所有工具必须从官方渠道下载,避免使用来源不明的工具。


第二章:Sysinternals 工具集详解

Sysinternals 是 Microsoft 官方的 Windows 高级工具集,是应急响应的必备工具包

2.1 Process Monitor(实时行为监控)

功能:实时监控文件系统、注册表、进程/线程活动

下载地址:https://learn.microsoft.com/sysinternals/downloads/processmonitor[6]

核心用途

•🔍 恶意软件行为分析•🛠️ 软件问题排查•🔐 权限问题诊断•📊 应用程序行为审计

常用命令行启动方式

# 后台监控并保存日志procmon.exe /Minimized /Capture /BackingFile C:\Logs\capture.pml
# 加载配置文件启动procmon.exe /LoadConfig filter.pmc /Capture
# 静默模式procmon.exe /Quiet /AcceptEula /Capture

关键过滤条件

# 指定进程监控Process Name is malware.exe → Include
# 失败操作监控(权限问题)Result is ACCESS DENIED → Include
# 注册表监控Path begins with HKLM\Software → Include
# 文件写入监控Operation contains Write → Include

2.2 Process Explorer(进程分析)

功能:进程树、DLL、句柄、网络连接分析

下载地址:https://learn.microsoft.com/sysinternals/downloads/processexplorer[7]

核心用途

•📊 查看进程父子关系•🔍 查看进程加载的DLL•📌 检测DLL注入•🌐 查看进程网络连接

关键功能

| 功能 | 用途 | | — | — | | Process Tree | 进程父子关系追踪 | | DLL View | DLL加载检测 | | Handles View | 句柄分析 | | Properties | 进程详细信息 | | VirusTotal Check | 快速恶意检测 |

与 Procmon 配合使用

Process Explorer → 找到可疑进程Process Monitor → 过滤该PID,分析行为

2.3 Autoruns(自启动项分析)

功能:全面扫描 Windows 所有自启动位置

下载地址:https://learn.microsoft.com/sysinternals/downloads/autoruns[8]

核心用途

•🔍 检测恶意持久化项目•📊 审计合法启动项•🛡️ 发现隐藏的启动项

扫描位置(超过50个)

启动项位置├─ 注册表│   ├─ HKLM\Software\Microsoft\Windows\CurrentVersion\Run│   ├─ HKCU\Software\Microsoft\Windows\CurrentVersion\Run│   ├─ HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce│   ├─ HKLM\System\CurrentControlSet\Services│   └─ WMI事件订阅│├─ 文件系统│   ├─ Startup文件夹(用户/公用)│   ├─ C:\Windows\Tasks│   ├─ C:\Windows\System32\Tasks│   └─ 浏览器扩展│├─ 其他│   ├─ 计划任务│   ├─ 服务│   ├─ 驱动│   ├─ Boot Execute│   ├─ Image File Execution Options│   └─ AppInit DLLs

使用要点

# 以管理员身份运行autoruns.exe -a
# 验证文件签名View → Verify Code Signatures
# 隐藏合法Microsoft条目Options → Hide Microsoft Entries
# VirusTotal检测右键条目 → Check VirusTotal

2.4 ProcDump(进程内存dump)

功能:捕获进程内存dump

下载地址:https://learn.microsoft.com/sysinternals/downloads/procdump[9]

核心用途

•💾 捕获崩溃进程内存•🔍 恶意进程内存分析•📊 应用程序问题诊断

常用命令

# 按PID dumpprocdump.exe -ma 1234 output.dmp
# 按进程名dumpprocdump.exe -ma malware.exe output.dmp
# CPU异常时dump(CPU超过80%触发)procdump.exe -ma -c 80 malware.exe output.dmp
# 持续dump(每5秒一次)procdump.exe -ma -s 5 malware.exe output.dmp

2.5 TCPView(网络连接监控)

功能:实时监控TCP/UDP连接

下载地址:https://learn.microsoft.com/sysinternals/downloads/tcpview[10]

核心用途

•🌐 实时查看网络连接•🔍 查看连接对应的进程•📊 监控异常网络活动

关键信息

| 列 | 说明 | | — | — | | Process | 进程名 | | PID | 进程ID | | Protocol | TCP/UDP | | Local Address | 本地地址端口 | | Remote Address | 远程地址端口 | | State | 连接状态 |


2.6 Strings(字符串提取)

功能:从文件中提取可打印字符串

下载地址:https://learn.microsoft.com/sysinternals/downloads/strings[11]

核心用途

•🔍 从恶意文件提取关键信息•📌 发现隐藏的URL、IP、命令•📊 分析未知文件类型

常用命令

# 提取所有字符串(默认4字符以上)strings.exe malware.exe
# 指定最小字符长度strings.exe -n 8 malware.exe
# 输出到文件strings.exe -n 8 malware.exe > strings_output.txt
# 提取Unicode字符串strings.exe -u malware.exe

2.7 Sigcheck(文件签名验证)

功能:验证文件数字签名,查询VirusTotal

下载地址:https://learn.microsoft.com/sysinternals/downloads/sigcheck[12]

核心用途

•🔐 验证文件是否被篡改•🔍 检测恶意文件签名状态•📊 批量文件签名检查

常用命令

# 检查单个文件签名sigcheck.exe malware.exe
# VirusTotal检测sigcheck.exe -vt malware.exe
# 批量检查目录sigcheck.exe -vt -s C:\Windows\System32
# 查找未签名文件sigcheck.exe -u C:\Program Files

第三章:网络分析工具

3.1 Wireshark(流量抓包分析)

功能:网络流量捕获与分析

下载地址:https://www.wireshark.org/download.html[13]

核心用途

•🌐 抓取网络流量•🔍 分析恶意通信内容•📊 解密协议通信

应急响应场景

场景一:分析恶意软件通信1. 抓取流量:Capture → Start2. 过滤IP:ip.addr == malicious_ip3. 分析内容:右键 → Follow TCP Stream4. 提取恶意数据
场景二:分析C2通信1. 过滤端口:tcp.port == 44442. 查看通信模式3. 分析心跳包特征
场景三:DNS异常分析1. 过滤DNS:dns2. 查看查询域名3. 检测DNS隧道

常用过滤规则

# 按IP过滤ip.addr == 192.168.1.100
# 按端口过滤tcp.port == 443
# 按协议过滤http || dns || ftp
# 按进程过滤(需配合其他工具)# 通过TCPView找到PID和端口,Wireshark过滤端口

3.2 内置网络命令

netstat:网络连接状态

# 显示所有连接netstat -ano
# 只显示已建立连接netstat -ano | findstr ESTABLISHED
# 显示监听端口netstat -ano | findstr LISTENING
# 查看特定端口netstat -ano | findstr :443
# 持续刷新显示netstat -ano 1

关键信息解读

Proto  Local Address      Foreign Address     State       PIDTCP    0.0.0.0:443        192.168.1.1:80      ESTABLISHED 1234│      │                  │                   │           ││      本地端口           远程地址端口         连接状态    进程ID

第四章:文件分析工具

4.1 VirusTotal(多引擎恶意检测)

功能:使用数十个杀毒引擎检测文件

网址:https://www.virustotal.com[14]

核心用途

•🔍 快速检测恶意文件•📊 查看文件基本信息(Hash、签名)•📌 查看文件行为报告•🌐 检测URL、IP、域名

使用方式

| 方式 | 说明 | | — | — | | 上传文件 | 上传可疑文件检测 | | 输入Hash | 搜索已检测的样本 | | 输入URL | 检测恶意链接 | | 输入IP | 检测恶意IP |

检测结果解读

Detection: 15/70│          ││          15个引擎报毒 / 70个总引擎数│判定标准:  0/70 → 安全  1-3/70 → 可能误报,需人工确认  4+/70 → 确认恶意

4.2 PE-bear(PE文件结构分析)

功能:PE文件(exe、dll)结构可视化分析

下载地址:https://github.com/hasherezade/pe-bear-releases[15]

核心用途

•🔍 查看PE文件结构•📌 分析导入/导出表•📊 检测PE异常(注入、加壳)

关键PE结构

PE文件结构├─ DOS Header├─ PE Header│   ├─ Signature│   ├─ File Header│   └─ Optional Header├─ Section Headers│   ├─ .text(代码段)│   ├─ .data(数据段)│   ├─ .rdata(只读数据)│   └─ .rsrc(资源)├─ Import Table(导入函数)├─ Export Table(导出函数)└─ Resource Section(资源)

4.3 Hash计算工具

内置命令计算Hash

# CertUtil计算MD5certutil -hashfile malware.exe MD5
# CertUtil计算SHA1certutil -hashfile malware.exe SHA1
# CertUtil计算SHA256certutil -hashfile malware.exe SHA256
# PowerShell计算HashGet-FileHash malware.exe -Algorithm SHA256

第五章:内存取证工具

5.1 Volatility(内存分析框架)

功能:分析内存dump文件,提取关键信息

下载地址:https://github.com/volatilityfoundation/volatility[16]

核心用途

•💾 提取进程、网络连接•🔍 检测恶意代码、DLL注入•📊 分析注册表、密码哈希•🦠 发现隐藏进程、Rootkit

关键命令

# 查看进程列表volatility -f memory.dmp --profile=Win10x64_19041 pslist
# 查看进程树volatility -f memory.dmp --profile=Win10x64_19041 pstree
# 查看网络连接volatility -f memory.dmp --profile=Win10x64_19041 netscan
# 查看DLL加载volatility -f memory.dmp --profile=Win10x64_19041 dlllist
# 查看命令行历史volatility -f memory.dmp --profile=Win10x64_19041 cmdscan
# 查看注册表volatility -f memory.dmp --profile=Win10x64_19041 hivelist
# 查看密码哈希volatility -f memory.dmp --profile=Win10x64_19041 hashdump
# 检测恶意代码volatility -f memory.dmp --profile=Win10x64_19041 malfind
# 检测隐藏进程volatility -f memory.dmp --profile=Win10x64_19041 psxview

Profile选择

# 查看支持的Profilevolatility --info | grep Win
常见Profile:├─ Win10x64_19041  ← Windows 10 2004+├─ Win7x64         ← Windows 7├─ Win8x64         ← Windows 8├─ WinXPx86        ← Windows XP└─ Win2019x64      ← Windows Server 2019

5.2 DumpIt / WinPMEM(内存dump工具)

功能:捕获完整物理内存

下载地址

•DumpIt: https://github.com/thimotee/DumpIt[17]•WinPMEM: https://github.com/Velocidex/WinPmem[18]

使用方法

# DumpIt使用(简单)DumpIt.exe
# WinPMEM使用winpmem.exe output.dmp
# 带压缩输出winpmem.exe -o output.dmp -c

⚠️ 注意事项

•内存dump会暂停系统短暂时间•dump文件大小接近物理内存大小•需要足够的磁盘空间


5.3 Memprocfs(内存文件系统)

功能:将内存映射为文件系统,方便浏览

下载地址:https://github.com/ufrisk/MemProcFS[19]

核心用途

•💾 直观浏览内存内容•🔍 提取进程、文件、注册表•📊 实时分析内存


第六章:日志分析工具

6.1 Windows 安全日志关键事件

关键事件ID

| 事件ID | 含义 | | — | — | | 4624 | 登录成功 | | 4625 | 登录失败 | | 4634 | 注销 | | 4648 | 使用显式凭证登录 | | 4672 | 特殊权限分配 | | 4688 | 进程创建 | | 4689 | 进程终止 | | 4720 | 用户账户创建 | | 4722 | 用户账户启用 | | 4728 | 安全组添加成员 | | 4732 | 本地组添加成员 | | 4756 | 通用组添加成员 | | 4768 | Kerberos TGT请求 | | 4769 | Kerberos服务票证请求 | | 1102 | 审计日志清除 |


6.2 内置日志命令

wevtutil:事件日志命令行工具

# 查看日志列表wevtutil el
# 查询安全日志最近20条wevtutil qe security /c:20 /rd:true /f:text
# 按事件ID查询wevtutil qe security /q:"*[System[(EventID=4624)]]" /c:10 /f:text
# 导出日志wevtutil epl security security.evtx
# 清除日志(需权限)wevtutil cl security

PowerShell查询

# 查询登录事件(最近24小时)Get-WinEvent -FilterHashtable @{LogName='Security';ID=4624;StartTime=(Get-Date).AddHours(-24)} |Select-Object TimeCreated,Id,Message
# 查询进程创建Get-WinEvent -FilterHashtable @{LogName='Security';ID=4688} -MaxEvents 100 |Select-Object TimeCreated,Message
# 查询登录失败(暴力破解检测)Get-WinEvent -FilterHashtable @{LogName='Security';ID=4625} |Select-Object TimeCreated,Message
# 查询所有登录类型10(远程桌面)Get-WinEvent -FilterHashtable @{LogName='Security';ID=4624} |Where-Object {$_.Message -match "Logon Type: 10"} |Select-Object TimeCreated,Message

6.3 LogParser(日志分析工具)

功能:使用SQL语法分析各类日志

下载地址:https://www.microsoft.com/en-us/download/details.aspx?id=24690[20]

常用查询

# 查询安全日志LogParser.exe "SELECT TimeGenerated,EventID,Message FROM security WHERE EventID=4624" -i:EVT
# 按事件ID统计LogParser.exe "SELECT EventID,COUNT(*) FROM security GROUP BY EventID ORDER BY COUNT(*) DESC" -i:EVT
# 查询登录失败来源IPLogParser.exe "SELECT EXTRACT_TOKEN(Message,19,' ') AS SourceIP,COUNT(*) FROM security WHERE EventID=4625 GROUP BY SourceIP" -i:EVT
# 查询文本日志LogParser.exe "SELECT * FROM C:\Logs\*.log WHERE Text LIKE '%error%'" -i:TEXTLINE

6.4 Eric Zimmerman日志工具

下载地址:https://ericzimmerman.github.io[21]

关键工具

| 工具 | 用途 | | — | — | | EvtxECmd | EVTX日志解析与输出 | | PECmd | Prefetch文件分析 | | MFTECmd | MFT/MFTMirr/$J分析 | | Registry Explorer | 注册表可视化分析 | | LECmd | LNK文件分析 | | JLECmd | JumpList分析 |

EvtxECmd使用

# 解析单个EVTXEvtxECmd.exe -f security.evtx --csv output.csv
# 批量解析目录EvtxECmd.exe -d C:\Windows\System32\winevt\Logs --csv output.csv
# 添加自定义映射EvtxECmd.exe -f security.evtx --csv output.csv --map custom_map.json

第七章:持久化检测工具

7.1 Autoruns(持久化全面扫描)

已在第二章详细介绍,这里强调持久化检测重点:

重点关注位置

# 高危持久化位置HKLM\Software\Microsoft\Windows\CurrentVersion\RunHKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceHKCU\Software\Microsoft\Windows\CurrentVersion\RunHKLM\System\CurrentControlSet\Services(隐藏服务)计划任务(Task Scheduler)Boot Execute(启动执行)Image File Execution Options(IFEO劫持)AppInit DLLsShell ExtensionsBrowser Helper Objects(BHO)WMI事件订阅

Autoruns使用技巧

1. 以管理员身份运行2. Options → Hide Microsoft Entries(隐藏合法条目)3. View → Verify Code Signatures(验证签名)4. 检查红色/黄色条目(无签名或可疑)5. 右键 → Check VirusTotal(检测恶意)6. 右键 → Jump to Entry(跳转到注册表/文件)

7.2 RegRipper(注册表分析)

功能:注册表离线分析插件框架

下载地址:https://github.com/keydet89/RegRipper3.0[22]

核心用途

•🔍 分析注册表hive文件•📊 提取用户活动、系统配置•🦠 检测注册表恶意修改

常用插件

| 插件 | 功能 | | — | — | | userassist | 用户执行程序记录 | | recentdocs | 最近打开文档 | | runkeys | 启动项分析 | | services | 服务分析 | | software | Software hive分析 | | system | System hive分析 | | ntuser | 用户配置分析 |

使用命令

# 分析NTUSER.DATRegRipper.exe -r NTUSER.DAT -f ntuser
# 分析SYSTEM hiveRegRipper.exe -r SYSTEM -f system
# 输出到文件RegRipper.exe -r NTUSER.DAT -f ntuser -o output.txt

7.3 Persistence Ripper

功能:专注Windows持久化检测

下载地址:https://github.com/kacos2000/WindowsPersistence[23]

检测内容

├─ 注册表启动项├─ 计划任务├─ 服务├─ WMI事件订阅├─ DLL劫持├─ AppInit_DLLs├─ Image File Execution Options├─ Shell扩展└─ 其他隐藏持久化方式

第八章:综合响应平台

8.1 Velociraptor(端点可见性平台)

功能:端点可见性与响应,远程收集和分析

下载地址:https://github.com/Velocidex/Velociraptor[24]

核心用途

•🌐 远程端点监控•📊 实时数据收集•🔍 恶意检测与响应•📁 文件系统分析

关键VQL查询

# 查看进程SELECT * FROM pslist()
# 查看网络连接SELECT * FROM netstat()
# 查看启动项SELECT * FROM registry(key='HKLM\Software\Microsoft\Windows\CurrentVersion\Run')
# 收集文件SELECT * FROM glob(globs='C:\Users\*\AppData\*.exe')
# 搜索恶意文件SELECT * FROM glob(globs='C:\**\*.exe') WHERE Name LIKE '%malware%'

8.2 KAPE(快速取证收集)

功能:快速收集取证数据和证据

下载地址:https://github.com/KapeFiles/KapeFiles[25]

核心用途

•💾 快速收集关键文件•📊 自动化取证流程•🔍 减少现场停留时间

使用方法

# 收取目标文件KAPE.exe --target KapeTuples --source C: --output D:\KapeOutput
# 收取并处理KAPE.exe --target KapeTuples --module Modules --source C: --output D:\KapeOutput
# 快速收集KAPE.exe --target !SANS_Triage --source C: --output D:\KapeOutput

8.3 CyLR(日志快速收集)

功能:快速收集关键日志和文件

下载地址:https://github.com/orlikoski/CyLR[26]

核心用途

•📝 快速收集关键日志•💾 收集取证文件•🌐 支持网络传输

使用方法

# 快速收集到本地CyLR.exe -o output.zip
# 收集并上传到服务器CyLR.exe -u https://server/upload -o output.zip
# 自定义收集目标CyLR.exe -c custom_config.json -o output.zip

第九章:应急响应实战流程

9.1 响应流程总览

应急响应流程│├─ Step 1: 初步研判│   ├─ 确认事件类型│   ├─ 评估影响范围│   └─ 确定响应优先级│├─ Step 2: 现场保护│   ├─ 避免重启(保留内存证据)│   ├─ 断开网络(阻止扩散)│   └─ 保护日志(防止清除)│├─ Step 3: 证据收集│   ├─ 内存dump(Volatility)│   ├─ 日志收集(Event Log)│   ├─ 进程信息(Procmon/Procexp)│   └─ 网络连接(TCPView/netstat)│   ├─ 文件系统(Autoruns/Strings)│   ├─ 注册表(Autoruns/RegRipper)│   └─ MFT/Prefetch(Eric Zimmerman)│├─ Step 4: 初步分析│   ├─ 进程分析(Procexp)│   ├─ 行为分析(Procmon)│   ├─ 网络分析(Wireshark/TCPView)│   ├─ 文件分析(VirusTotal/Strings)│   ├─ 持久化分析(Autoruns)│   └─ 日志分析(LogParser)│├─ Step 5: 深度分析│   ├─ 内存分析(Volatility)│   ├─ 代码逆向(IDA/Ghidra)│   ├─ 流量分析(Wireshark)│   └─ 威胁情报(微步/VirusTotal)│├─ Step 6: 阻断处置│   ├─ 结束恶意进程│   ├─ 断开恶意连接│   ├─ 删除持久化项目│   ├─ 清理恶意文件│   └─ 重置凭证密码│├─ Step 7: 系统恢复│   ├─ 系统完整性检查│   ├─ 补丁更新│   ├─ 安全加固│   ├─ 监控部署│   └─ 用户培训│└─ Step 8: 报告总结    ├─ 事件时间线    ├─ 攻击路径分析    ├─ IOC提取    ├─ 影响评估    ├─ 经验教训    └─ 加固建议

9.2 证据收集顺序

重要原则:易失性数据优先收集

易失性数据收集顺序(按易失性从高到低)│├─ 1. 内存数据(最易失)│   ├─ DumpIt/WinPMEM dump内存│   └─ ProcDump dump进程内存│├─ 2. 网络连接│   ├─ netstat -ano│   ├─ TCPView截图│   └─ Wireshark抓包│├─ 3. 进程信息│   ├─ tasklist /v│   ├─ Process Explorer导出│   └─ Procmon日志│├─ 4. 注册表数据│   ├─ Autoruns导出│   └─ RegRipper分析│├─ 5. 文件系统│   ├─ Prefetch文件│   ├─ MFT记录│   ├─ $J日志│   └─ 用户目录文件│├─ 6. Windows日志(较稳定)│   ├─ Security.evtx│   ├─ System.evtx│   ├─ Application.evtx│   ├─ PowerShell日志│   └─ Task Scheduler日志│└─ 7. 静态文件(最稳定)    ├─ 恶意文件样本    ├─ 配置文件    └─ 用户文档

9.3 快速响应脚本示例

一键收集脚本(PowerShell)

# 应急响应一键收集脚本# 输出目录$outputDir = "C:\IR_Collection_" + (Get-Date -Format 'yyyyMMdd_HHmmss')New-Item -ItemType Directory -Path $outputDir | Out-Null
# 1. 收集网络连接netstat -ano | Out-File -FilePath "$outputDir\netstat.txt"netstat -ano | findstr ESTABLISHED | Out-File -FilePath "$outputDir\netstat_established.txt"
# 2. 收集进程信息tasklist /v | Out-File -FilePath "$outputDir\tasklist.txt"Get-Process | Select-Object Name,Id,Path,StartTime | Export-Csv -FilePath "$outputDir\processes.csv" -NoTypeInformation
# 3. 收集服务信息Get-Service | Where-Object {$_.Status -eq "Running"} | Select-Object Name,DisplayName,Status | Export-Csv -FilePath "$outputDir\services.csv" -NoTypeInformation
# 4. 收集启动项Get-ItemProperty "HKLM:\Software\Microsoft\Windows\CurrentVersion\Run" | Out-File -FilePath "$outputDir\run_hklm.txt"Get-ItemProperty "HKCU:\Software\Microsoft\Windows\CurrentVersion\Run" | Out-File -FilePath "$outputDir\run_hkcu.txt"
# 5. 收集用户账户net user | Out-File -FilePath "$outputDir\users.txt"net localgroup administrators | Out-File -FilePath "$outputDir\admin_users.txt"
# 6. 收集计划任务Get-ScheduledTask | Where-Object {$_.State -eq "Ready"} | Select-Object TaskName,TaskPath,State | Export-Csv -FilePath "$outputDir\scheduled_tasks.csv" -NoTypeInformation
# 7. 收集日志Copy-Item "C:\Windows\System32\winevt\Logs\Security.evtx" -Destination "$outputDir\"Copy-Item "C:\Windows\System32\winevt\Logs\System.evtx" -Destination "$outputDir\"Copy-Item "C:\Windows\System32\winevt\Logs\Application.evtx" -Destination "$outputDir\"Copy-Item "C:\Windows\System32\winevt\Logs\Microsoft-Windows-PowerShell%4Operational.evtx" -Destination "$outputDir\" -ErrorAction SilentlyContinue
# 8. 收集PrefetchCopy-Item "C:\Windows\Prefetch\*" -Destination "$outputDir\Prefetch\" -Recurse -ErrorAction SilentlyContinue
# 9. 收集最近修改的文件(24小时内)Get-ChildItem C:\Users\ -Recurse -Include *.exe,*.dll,*.ps1,*.bat -ErrorAction SilentlyContinue |Where-Object {$_.LastWriteTime -gt (Get-Date).AddHours(-24)} |Select-Object FullName,LastWriteTime,Length |Export-Csv -FilePath "$outputDir\recent_files.csv" -NoTypeInformation
# 输出完成Write-Host "收集完成,输出目录: $outputDir"

第十章:工具使用最佳实践

10.1 工具准备建议

应急响应工具包准备清单

USB应急响应工具包│├─ Sysinternals套件│   ├─ procmon.exe│   ├─ procexp.exe│   ├─ autoruns.exe│   ├─ procdump.exe│   ├─ tcpview.exe│   ├─ strings.exe│   └─ sigcheck.exe│├─ 网络分析│   ├─ Wireshark便携版│   └─ nmap便携版│├─ 内存取证│   ├─ DumpIt.exe│   ├─ WinPMEM.exe│   └─ Volatility便携版│├─ 日志分析│   ├─ LogParser.exe│   └─ Eric Zimmerman工具集│├─ 注册表分析│   ├─ RegRipper│   └─ Registry Explorer│├─ 恶意检测│   ├─ VirusTotal链接│   ├─ 微步在线链接│   └─ YARA规则│├─ 综合平台│   ├─ Velociraptor便携版│   ├─ KAPE│   └─ CyLR.exe│└─ 脚本与配置    ├─ 一键收集脚本    ├─ 常用过滤配置    ├─ Procmon配置文件    └─ Autoruns配置

10.2 环境隔离建议

分析环境搭建

隔离环境要求├─ 物理隔离机│   ├─ 断网环境│   ├─ 可清空重装│   └─ 专用取证机器│├─ 虚拟机分析环境│   ├─ VMware/VirtualBox│   ├─ 快照备份│   ├─ 网络隔离模式│   └─ 共享文件夹控制│└─ 沙箱环境    ├─ Sandboxie    ├─ Windows Sandbox    └─ 在线沙箱(Any.Run、Hybrid Analysis)

10.3 证据保全建议

证据保全原则

证据保全要点│├─ 1. 原始证据保护│   ├─ 计算Hash(MD5/SHA256)│   ├─ 记录收集时间│   ├─ 记录收集人员│   └─ 记录收集方法│├─ 2. 证据链记录│   ├─ 证据编号│   ├─ 时间戳记录│   ├─ 操作记录│   ├─ Hash校验│   └─ 存储位置│├─ 3. 存储要求│   ├─ 专用存储介质│   ├─ 加密存储│   ├─ 备份副本│   └─ 访问控制│└─ 4. 分析要求    ├─ 使用副本分析    ├─ 保留原始证据    ├─ 记录分析过程    └─ 验证Hash一致性

附录:工具速查表

Sysinternals工具速查

| 工具 | 功能 | 关键命令 | | — | — | — | | Process Monitor | 实时监控 | procmon.exe /Capture /BackingFile log.pml | | Process Explorer | 进程分析 | 查看DLL、句柄、网络 | | Autoruns | 启动项扫描 | autoruns.exe -a | | ProcDump | 内存dump | procdump.exe -ma PID output.dmp | | TCPView | 网络连接 | 实时监控TCP/UDP | | Strings | 字符串提取 | strings.exe -n 8 file.exe | | Sigcheck | 签名验证 | sigcheck.exe -vt file.exe |

内存取证命令速查

# Volatility关键命令volatility -f memory.dmp --profile=Win10x64 pslist    # 进程列表volatility -f memory.dmp --profile=Win10x64 netscan   # 网络连接volatility -f memory.dmp --profile=Win10x64 malfind   # 恶意代码volatility -f memory.dmp --profile=Win10x64 hashdump  # 密码哈希

日志查询速查

# 关键日志事件ID4624 - 登录成功4625 - 登录失败4688 - 进程创建
# PowerShell查询Get-WinEvent -FilterHashtable @{LogName='Security';ID=4624} -MaxEvents 100

网络命令速查

# netstat关键命令netstat -ano | findstr ESTABLISHED    # 已建立连接netstat -ano | findstr LISTENING      # 监听端口netstat -ano | findstr :443           # 特定端口

文档版本:v1.0 创建日期:2026-07-09 适用场景:Windows 系统应急响应、恶意软件分析、安全事件调查


🔒 安全提示:应急响应工具仅用于合法安全调查,不得用于非法入侵或破坏活动。所有分析应在隔离环境中进行,避免对生产系统造成影响。

💡 学习建议:建议搭建专用实验环境(虚拟机),定期演练应急响应流程,熟悉各类工具的使用方法和场景。

References

[1]https://learn.microsoft.com/sysinternals [2]:https://github.com [3]:https://www.virustotal.com [4]:https://x.threatbook.cn [5]:https://ericzimmerman.github.io [6]:https://learn.microsoft.com/sysinternals/downloads/processmonitor [7]:https://learn.microsoft.com/sysinternals/downloads/processexplorer [8]:https://learn.microsoft.com/sysinternals/downloads/autoruns [9]:https://learn.microsoft.com/sysinternals/downloads/procdump [10]:https://learn.microsoft.com/sysinternals/downloads/tcpview [11]:https://learn.microsoft.com/sysinternals/downloads/strings [12]:https://learn.microsoft.com/sysinternals/downloads/sigcheck [13]:https://www.wireshark.org/download.html [14]:https://www.virustotal.com [15]:https://github.com/hasherezade/pe-bear-releases [16]:https://github.com/volatilityfoundation/volatility [17]:https://github.com/thimotee/DumpIt [18]:https://github.com/Velocidex/WinPmem [19]:https://github.com/ufrisk/MemProcFS [20]:https://www.microsoft.com/en-us/download/details.aspx?id=24690 [21]:https://ericzimmerman.github.io [22]:https://github.com/keydet89/RegRipper3.0 [23]:https://github.com/kacos2000/WindowsPersistence [24]:https://github.com/Velocidex/Velociraptor [25]:https://github.com/KapeFiles/KapeFiles [26]https://github.com/orlikoski/CyLR


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:灰帽大于 灰帽大于 灰帽大于《Windows 应急响应工具手册》

提示注入与Agent安全 网络安全文章

提示注入与Agent安全

文章总结: 本文系统梳理提示注入与agent安全领域,涵盖直接/间接注入攻击、威胁模型、防御技术等。核心指出指令-数据不可分性是根本原因,agent场景因行动能
评论:0   参与:  0