Windows木马应急响应排查复现
Windows木马应急响应排查复现
此次复现环境为windows11 虚拟机模拟复现,源于1个月前的某企业应急响应演练,但是当时项目经理没带我去玩,把我派到另一个项目了,要来木马,尝试一下排查,如果后面学到了很多思路,还会补充。
下载木马

下载压缩包解压后点击exe触发
还是要把windows安全工具关掉,不然解压后会把exe文件删了,一共测试两次,第一次全程没报警,第二次解压后就删除了exe文件
或者安全中心内允许执行
开始测试
查找木马进程
首先贴一张未启用木马时的任务管理器截图
点击运行
点击仍要运行
木马已经启动了
首先我们要做的是找到木马并停止木马的运行
查看网络连接状态
使用命令
1 | |

然后
使用如下命令来进一步定位进程信息:
笨办法就是一个一个试,着重注意外部ip的地方
1 | |
确定恶意进程pid为1672
杀死进程,直接在任务管理器找关于pid=1672的
第一个一看就有问题
右键点击
转到详细信息
1672对应
右键结束任务
结束进程后CPU占用明显降低
接下来我们看看排查影响
安装杀毒工具
在测试前先安装一款杀毒工具,检测木马影响,因为使用的这个木马也不是特别难以检测,一般的杀毒工具都能检测出,可以以此前后对照


排查自启动项
自启动项是系统开机时在前台或者后台运行的程序,攻击者有可能通过自启动项使用病毒后门等实现持久化控制。
win+r 输入taskschd.msc,即可调出任务计划程序。
也可以开始菜单直接搜索
这里怎么排查呢?我主要是看它的描述信息,重复状态,时间异常,还有启动用户权限
例如:
这个计划程序就比较可疑
首先创建者为当前使用的用户,也是触发木马的用户
其次没有描述信息,且运行任务时使用的SYSTEM用户,不管用户是否登录都要运行
打开操作选项卡发现了恶意文件的路径
禁用=>删除
powershell的命令Get-ScheduledTask也可以查看计划任务的路径,名称,状态。
排查是否存在异常服务
异常服务是攻击者维持权限的常用手段,我们要重点注意服务状态和启动类型,检查是否有异常服务。
win+r调用出运行栏输入services.msc
重点检查自动启动类型
没找到异常服务
排查注册表
木马常通过修改注册表实现开机自启、劫持程序运行、隐藏自身等目的,排查时可重点关注启动项、文件关联、系统服务、浏览器相关等几类核心注册表路径
- 开机启动相关项
这是木马最常篡改的区域,目的是实现开机自动运行,需重点核对陌生 EXE 程序路径。
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run:系统级核心启动项,几乎所有需要常驻的木马都会在此添加键值,比如部分木马会伪装成类似 “expiorer.exe” 的虚假系统文件。
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run:当前用户专属启动项,针对性感染当前用户的木马常藏于此,不影响其他账户。
- 同目录下的RunOnce、RunServices等子项也别遗漏,RunOnce 中程序会在系统下次启动时执行一次,部分木马借此规避常规检测;RunServices 则通过系统服务形式启动,隐蔽性更强。
- 文件关联相关项
木马会篡改文件打开方式,让用户打开常规文件(如 TXT、EXE)时自动触发自身运行,重点检查以下路径:
- HKEY_CLASSES_ROOT\exefile\shell\open\command:EXE 文件的默认启动配置,正常默认值应指向程序本身,若被修改为包含陌生程序路径,运行任何 EXE 都会激活木马。
- HKEY_CLASSES_ROOT\txtfile\shell\open\command:文本文件的打开关联,部分木马会篡改此处,让打开记事本文件时顺带运行恶意程序。
- 此外,comfile(命令文件)、regfile(注册表文件)等类型对应的键值也可排查,防止木马阻止注册表修改等操作。
- 系统服务相关项
部分木马会伪装成系统服务实现持久化运行,对应的注册表路径需重点查看:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services。这里每个子项对应一个系统服务,正常服务多为系统自带或正规软件安装,若发现名称奇怪(如随意字母组合)、描述空白或模糊的子项,且指向未知路径的可执行文件或 DLL 文件,大概率是木马伪装的服务,比如 PcShare 远控木马曾在此处创建虚假 “WeChat” 服务项。 - 浏览器与网络相关项
劫持浏览器、窃取浏览信息的木马会篡改这类注册表项,常见路径有:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main和HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main:重点查看 “Local Page” 等键值,若主页、默认搜索页被改为陌生网址,可能是木马篡改以推送广告或窃取浏览数据。 - 策略限制相关项
部分木马会修改注册表禁用系统功能,阻止用户排查和清理,关键路径为HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System。比如键值 “DisableRegistryTools” 若被设为 1,会直接禁止用户打开注册表编辑器,若发现该异常键值,需优先删除以恢复注册表操作权限。
win + r 输入regedit
这里只列出受影响的路径(其它路径均未发现)
在检查HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 发现
发现病毒文件
直接右键删除即可
日志排查
Windows日志包含以下元素:日期/时间、事件类型、用户、计算机、事件ID、来源、类别、描述、数据等信息。
包含三种日志类型:系统日志,应用程序日志,安全日志
这里看安全日志
win + r 输入eventvwr
这里看有无注册时间,也就是对应4720的事件id
这里的时间刚好对应打开木马文件的时间
看下木马创建用户是否属于管理组
1 | |

可见$hack用户
不能正常删除
打开计算机管理 win+r 输入compmgmt.msc 进入本地用户和组-用户
直接删除用户
使用管理员打开cmd也可以删除
接下来删除病毒源文件即可
与杀毒软件前后对比
排查前
排查后
可见病毒文件和造成的影响已经被排查掉了,重启也无问题