Windows木马应急响应排查复现

Windows木马应急响应排查复现

此次复现环境为windows11 虚拟机模拟复现,源于1个月前的某企业应急响应演练,但是当时项目经理没带我去玩,把我派到另一个项目了,要来木马,尝试一下排查,如果后面学到了很多思路,还会补充。

下载木马


下载压缩包解压后点击exe触发
还是要把windows安全工具关掉,不然解压后会把exe文件删了,一共测试两次,第一次全程没报警,第二次解压后就删除了exe文件
或者安全中心内允许执行

开始测试

查找木马进程

首先贴一张未启用木马时的任务管理器截图

点击运行

点击仍要运行

木马已经启动了
首先我们要做的是找到木马并停止木马的运行
查看网络连接状态
使用命令

1
2
3
4
5
//netstat 网络状态统计
// -a: 显示 所有 网络连接和监听端口(包括 TCP、UDP 协议,以及正在监听的和已建立的连接)
// -n: 以 数字形式 显示地址和端口,而不进行域名解析
// -o: 显示与每个网络连接相关联的 进程 ID(PID)。
netstat -ano


然后
使用如下命令来进一步定位进程信息:
笨办法就是一个一个试,着重注意外部ip的地方

1
2
3
4
//tasklist 查询系统中所有运行的进程列表。
//| 管道符,用于将前一个命令的输出结果作为后一个命令的输入。
//find 从输入内容中筛选包含 “” 的行。
tasklist | find "5175(PID)"

确定恶意进程pid为1672

杀死进程,直接在任务管理器找关于pid=1672的
第一个一看就有问题

右键点击

转到详细信息

1672对应
右键结束任务

结束进程后CPU占用明显降低

接下来我们看看排查影响

安装杀毒工具

在测试前先安装一款杀毒工具,检测木马影响,因为使用的这个木马也不是特别难以检测,一般的杀毒工具都能检测出,可以以此前后对照


排查自启动项

自启动项是系统开机时在前台或者后台运行的程序,攻击者有可能通过自启动项使用病毒后门等实现持久化控制。
win+r 输入taskschd.msc,即可调出任务计划程序。
也可以开始菜单直接搜索

这里怎么排查呢?我主要是看它的描述信息,重复状态,时间异常,还有启动用户权限
例如:
这个计划程序就比较可疑

首先创建者为当前使用的用户,也是触发木马的用户
其次没有描述信息,且运行任务时使用的SYSTEM用户,不管用户是否登录都要运行

打开操作选项卡发现了恶意文件的路径

禁用=>删除

powershell的命令Get-ScheduledTask也可以查看计划任务的路径,名称,状态。

排查是否存在异常服务

异常服务是攻击者维持权限的常用手段,我们要重点注意服务状态和启动类型,检查是否有异常服务。
win+r调用出运行栏输入services.msc

重点检查自动启动类型
没找到异常服务

排查注册表

木马常通过修改注册表实现开机自启、劫持程序运行、隐藏自身等目的,排查时可重点关注启动项、文件关联、系统服务、浏览器相关等几类核心注册表路径

  1. 开机启动相关项
    这是木马最常篡改的区域,目的是实现开机自动运行,需重点核对陌生 EXE 程序路径。
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run:系统级核心启动项,几乎所有需要常驻的木马都会在此添加键值,比如部分木马会伪装成类似 “expiorer.exe” 的虚假系统文件。
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run:当前用户专属启动项,针对性感染当前用户的木马常藏于此,不影响其他账户。
  • 同目录下的RunOnce、RunServices等子项也别遗漏,RunOnce 中程序会在系统下次启动时执行一次,部分木马借此规避常规检测;RunServices 则通过系统服务形式启动,隐蔽性更强。
  1. 文件关联相关项
    木马会篡改文件打开方式,让用户打开常规文件(如 TXT、EXE)时自动触发自身运行,重点检查以下路径:
  • HKEY_CLASSES_ROOT\exefile\shell\open\command:EXE 文件的默认启动配置,正常默认值应指向程序本身,若被修改为包含陌生程序路径,运行任何 EXE 都会激活木马。
  • HKEY_CLASSES_ROOT\txtfile\shell\open\command:文本文件的打开关联,部分木马会篡改此处,让打开记事本文件时顺带运行恶意程序。
  • 此外,comfile(命令文件)、regfile(注册表文件)等类型对应的键值也可排查,防止木马阻止注册表修改等操作。
  1. 系统服务相关项
    部分木马会伪装成系统服务实现持久化运行,对应的注册表路径需重点查看:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services。这里每个子项对应一个系统服务,正常服务多为系统自带或正规软件安装,若发现名称奇怪(如随意字母组合)、描述空白或模糊的子项,且指向未知路径的可执行文件或 DLL 文件,大概率是木马伪装的服务,比如 PcShare 远控木马曾在此处创建虚假 “WeChat” 服务项。
  2. 浏览器与网络相关项
    劫持浏览器、窃取浏览信息的木马会篡改这类注册表项,常见路径有:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main和HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main:重点查看 “Local Page” 等键值,若主页、默认搜索页被改为陌生网址,可能是木马篡改以推送广告或窃取浏览数据。
  3. 策略限制相关项
    部分木马会修改注册表禁用系统功能,阻止用户排查和清理,关键路径为HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System。比如键值 “DisableRegistryTools” 若被设为 1,会直接禁止用户打开注册表编辑器,若发现该异常键值,需优先删除以恢复注册表操作权限。

win + r 输入regedit
这里只列出受影响的路径(其它路径均未发现)
在检查HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 发现

发现病毒文件
直接右键删除即可

日志排查

Windows日志包含以下元素:日期/时间、事件类型、用户、计算机、事件ID、来源、类别、描述、数据等信息。
包含三种日志类型:系统日志,应用程序日志,安全日志
这里看安全日志
win + r 输入eventvwr
这里看有无注册时间,也就是对应4720的事件id

这里的时间刚好对应打开木马文件的时间
看下木马创建用户是否属于管理组

1
net localgroup Administrators


可见$hack用户

不能正常删除
打开计算机管理 win+r 输入compmgmt.msc 进入本地用户和组-用户

直接删除用户

使用管理员打开cmd也可以删除

接下来删除病毒源文件即可

与杀毒软件前后对比

排查前

排查后

可见病毒文件和造成的影响已经被排查掉了,重启也无问题


Windows木马应急响应排查复现
http://example.com/2025/11/11/Windows木马应急响应排查复现/
作者
奇怪的奇怪
发布于
2025年11月11日
许可协议