Windows 应急响应系列 - 总索引
本系列是 Linux应急响应 的姊妹篇,专注于 Windows 平台下的入侵检测、取证分析与应急处置。
如果你已完成 Linux 应急响应系列(37 页),本系列将帮助你将技能迁移到 Windows 生态。
系列简介
为什么需要独立的 Windows IR 系列?
Windows 在企业环境中占据 超过 75% 的桌面和大量服务器份额
Windows 应急响应有三大核心复杂度:
注册表(Registry)体系极其复杂 — 超过 60 个持久化相关的注册表位置,远多于 Linux 的 crontab/systemd
事件日志(Event Log)庞大且分散 — Windows 10/11 有 300+ 个日志通道,关键日志散布在 Security/System/PowerShell/Sysmon 等多个 evtx 文件中
Active Directory 域环境 — Kerberos 认证、组策略(GPO)、域信任关系引入了 Linux 环境中不存在的攻击面(Golden Ticket、DCSync、GPO 滥用等)
Windows 的取证制品种类远多于 Linux:
Prefetch、Amcache、ShimCache、SRUM、UserAssist、BAM/DAM
NTFS 特有制品:$MFT、$UsnJrnl、ADS(备用数据流)
浏览器制品、Thumbcache、Jumplist、LNK 文件
PowerShell 既是管理利器也是攻击者最爱的 Living-off-the-Land 工具
与 Linux 系列的关系
本系列假设读者已具备 Linux应急响应 的基础知识
每个章节会在适当位置标注与 Linux 的对照关系
推荐学习顺序:
先完成 Linux应急响应 全部 37 页
再按本系列 00-36 顺序学习
最后做跨平台综合演练
交叉引用约定:
Linux应急响应/XX-标题 — 引用 Linux 系列对应页面
Windows应急响应/XX-标题 — 引用本系列内部页面
目标读者
已完成 Linux IR 系列的安全工程师
企业安全运营(SOC)分析师
蓝队(Blue Team)成员
DFIR(Digital Forensics and Incident Response)从业者
准备 GCIH / GCFE / GCIA 等 SANS 认证的学员
学习路线图
1 | ┌─────────────────────────────────────────────────────────────────┐ |
完整页面索引
基础篇(00-04)
| 编号 | 页面 | 核心内容 | 预计耗时 |
|---|---|---|---|
| 00 | 00-学习路线 | PDCERF 模型、核心差异、学习计划、环境搭建 | 1h |
| 01 | 01-系统基础与注册表 | 目录结构、注册表五大根键、Hive 文件、SID、安全模型 | 3h |
| 02 | 02-排查命令速查 | CMD/PowerShell 双版本速查、WMIC、net 命令族 | 2h |
| 03 | 03-事件日志分析 | evtx 结构、Security/System/PowerShell 日志、关键 Event ID | 3h |
| 04 | 04-取证制品分析 | Prefetch、Amcache、ShimCache、SRUM、$MFT、Jumplist | 3h |
入侵排查篇(05-10)
| 编号 | 页面 | 核心内容 | 预计耗时 |
|---|---|---|---|
| 05 | 05-账户安全排查 | 本地/域账户枚举、隐藏账户、SID History 滥用 | 2h |
| 06 | Windows应急响应/06-进程与网络排查 | Process Explorer/Handle、PID-PPID 树、Token 分析、网络连接 | 3h |
| 07 | Windows应急响应/07-文件取证排查 | 时间线分析、ADS 检测、可疑目录扫描、Sigcheck 签名验证 | 2h |
| 08 | Windows应急响应/08-计划任务与服务排查 | schtasks 枚举、服务异常检测、at 任务遗留 | 2h |
| 09 | Windows应急响应/09-注册表持久化排查 | Run/RunOnce、Winlogon、AppInit_DLLs、CLSID 劫持检测 | 3h |
| 10 | Windows应急响应/10-PowerShell日志分析 | ScriptBlock Logging、Module Logging、Transcription、混淆检测 | 2h |
实战场景篇(11-17)
| 编号 | 页面 | 核心内容 | 预计耗时 |
|---|---|---|---|
| 11 | Windows应急响应/11-RDP暴力破解 | Event ID 4625/4624 分析、NLA 配置、RDP 日志链 | 2h |
| 12 | Windows应急响应/12-IIS入侵排查 | IIS 日志格式、Webshell 检测、w3wp 进程分析 | 3h |
| 13 | Windows应急响应/13-SQL-Server入侵 | xp_cmdshell、CLR 后门、SQL Agent Job、审计日志 | 2h |
| 14 | Windows应急响应/14-钓鱼邮件分析 | 邮件头分析、宏提取、OLE 对象、沙箱行为分析 | 2h |
| 15 | 15-横向移动检测 | PsExec、WMI 远程、WinRM、DCOM、Pass-the-Hash/Ticket | 3h |
| 16 | Windows应急响应/16-勒索病毒响应 | 识别勒索家族、加密行为检测、备份恢复、事件时间线重建 | 3h |
| 17 | Windows应急响应/17-挖矿木马排查 | CPU/GPU 异常、矿池通信检测、常见挖矿家族 | 2h |
持久化后门篇(18-30)
| 编号 | 页面 | 核心内容 | 预计耗时 |
|---|---|---|---|
| 18 | Windows应急响应/18-Registry-Run-Keys | HKLM/HKCU Run、RunOnce、RunServices、Policies 下的 Run | 2h |
| 19 | 19-计划任务后门 | XML 任务文件分析、隐藏任务、任务触发器类型 | 2h |
| 20 | Windows应急响应/20-服务后门 | 服务创建检测、ServiceDLL、驱动加载 | 2h |
| 21 | Windows应急响应/21-WMI持久化 | EventFilter + EventConsumer + Binding 三件套 | 2h |
| 22 | Windows应急响应/22-DLL劫持 | DLL 搜索顺序、Side-Loading、Phantom DLL | 2h |
| 23 | 23-COM劫持 | CLSID 劫持、InprocServer32 篡改、TreatAs 重定向 | 2h |
| 24 | Windows应急响应/24-启动文件夹后门 | Shell:Startup 路径、LNK 伪装、脚本自启 | 1h |
| 25 | Windows应急响应/25-IFEO镜像劫持 | Debugger 值劫持、GlobalFlag + SilentProcessExit | 2h |
| 26 | 26-PowerShell-Profile后门 | Profile 文件路径、AllUsersAllHosts 利用、检测方法 | 1h |
| 27 | 27-辅助功能后门 | sethc.exe 替换、Utilman.exe、Narrator、放大镜 | 1h |
| 28 | Windows应急响应/28-AD-Golden-Silver-Ticket | krbtgt 密钥提取、Golden Ticket 伪造、Silver Ticket 特征 | 3h |
| 29 | Windows应急响应/29-Print-Spooler-BITS滥用 | PrintNightmare 遗留、BITS Job 持久化、端口监视器 | 2h |
| 30 | 30-持久化综合Checklist | 全量排查清单、自动化脚本、排查优先级矩阵 | 2h |
工具篇(31-36)
| 编号 | 页面 | 核心内容 | 预计耗时 |
|---|---|---|---|
| 31 | 31-Sysinternals套件 | Process Explorer、Autoruns、TCPView、Handle、Strings | 3h |
| 32 | Windows应急响应/32-Sysmon部署与分析 | 配置文件编写、关键 Event ID、与 ELK/Splunk 集成 | 3h |
| 33 | Windows应急响应/33-日志收集与分析工具 | EvtxECmd、LogParser、Chainsaw、Hayabusa、Timeline Explorer | 2h |
| 34 | Windows应急响应/34-Volatility内存取证 | Windows 内存 Profile、进程/网络/注册表/恶意代码提取 | 3h |
| 35 | Windows应急响应/35-恶意软件初步分析 | PE 结构、静态分析工具、沙箱使用、YARA 规则 | 3h |
| 36 | Windows应急响应/36-KAPE与Velociraptor | KAPE Target/Module、Velociraptor VQL、远程取证 | 3h |
专题篇(37+)
| 编号 | 页面 | 核心内容 | 预计耗时 |
|---|---|---|---|
| 37 | 37-USB外设取证与文件访问追踪 | USBSTOR注册表、SetupAPI日志、USBDeview、LastActivityView、OpenSaveMRU、驱动级恶意软件(银狐/BYOVD)排查 | 3h |
实验环境说明
三层实验方案
第一层:本地虚拟机(必需)
虚拟化平台选择:
Intel Mac / Windows 宿主机 → VirtualBox(免费)或 VMware Workstation
Apple Silicon Mac → UTM(免费,基于 QEMU)或 Parallels Desktop
所需虚拟机:
Windows 10 Enterprise Evaluation(90 天评估版,微软官网免费下载)
Windows Server 2019/2022 Evaluation(用于域环境实验,180 天评估)
最低配置要求:
宿主机:16GB RAM、100GB 可用磁盘
Windows 10 VM:4GB RAM、2 vCPU、60GB 磁盘
Windows Server VM:4GB RAM、2 vCPU、60GB 磁盘
快照策略:
安装完成 → 快照 Clean-Install
安装工具后 → 快照 Tools-Ready
每次实验前 → 快照 Pre-Lab-XX
第二层:预构建靶机(推荐)
Commando VM(FireEye/Mandiant)— 预装攻击工具的 Windows VM
DVWA on IIS — 搭建在 IIS 上的漏洞靶场
DetectionLab(Chris Long)— 包含 DC + 日志收集 + Splunk 的完整域环境
YOURLS + WordPress on IIS — 模拟 Web 应用入侵场景
第三层:云端沙箱(可选)
Azure 免费试用 — 可快速部署 Windows Server + AD DS
HackTheBox / TryHackMe — Windows 靶机练习(Sherlock 系列取证挑战)
CyberDefenders — 蓝队 DFIR 挑战赛,包含 Windows 取证题目
工具预装清单
在 Tools-Ready 快照中应预装以下工具:
| 类别 | 工具 | 用途 |
|---|---|---|
| 系统分析 | Sysinternals Suite | 进程/自启动/网络分析 |
| 日志监控 | Sysmon + SwiftOnSecurity Config | 增强系统日志 |
| 日志分析 | Hayabusa / Chainsaw | evtx 快速扫描 |
| 取证采集 | KAPE | 自动化制品采集 |
| 取证分析 | EZ Tools(Eric Zimmerman) | 注册表/Prefetch/MFT 解析 |
| 远程取证 | Velociraptor | 远程端点调查 |
| 内存取证 | Volatility 3 | 内存镜像分析 |
| 恶意软件 | PE-bear / DIE / YARA | PE 分析与特征匹配 |
| 网络分析 | Wireshark | 网络流量捕获 |
| 文本编辑 | Notepad++ / VS Code | 日志/脚本查看 |
Windows vs Linux 应急响应差异对照表
这是全系列最重要的参照表之一,建议收藏反复查阅。
| 维度 | Windows | Linux | 备注 |
|---|---|---|---|
| 日志系统 | Event Log (evtx),300+ 通道 | syslog / journald | Windows 日志结构化但分散 |
| 日志路径 | C:\Windows\System32\winevt\Logs\ |
/var/log/ |
— |
| 用户标识 | SID (S-1-5-21-xxx-RID) | UID / GID | Windows SID 全局唯一 |
| 用户数据库 | SAM (Registry Hive) | /etc/passwd + /etc/shadow |
SAM 在线时被锁定 |
| 认证协议 | NTLM / Kerberos | PAM / LDAP | 域环境默认 Kerberos |
| 密码存储 | NTLM Hash (SAM/NTDS.dit) | SHA-512 (/etc/shadow) | NTLM Hash 可 Pass-the-Hash |
| 远程管理 | RDP / WinRM / PSRemoting | SSH | RDP 是最大攻击面之一 |
| 进程模型 | PID + PPID + Token + Session | PID + PPID + UID | Token 携带权限信息 |
| 持久化核心 | 注册表(60+ 位置) | crontab / systemd / rc.local | 注册表是最大排查工作量 |
| 服务管理 | SCM (sc.exe / services.msc) | systemd / init.d | — |
| 计划任务 | Task Scheduler (schtasks) | cron / anacron / at | Windows 任务可用 XML 定义 |
| 防火墙 | Windows Firewall (netsh/WF.msc) | iptables / nftables / firewalld | — |
| 文件系统 | NTFS (ADS, MFT, USN) | ext4 / xfs | NTFS 有备用数据流隐患 |
| 取证制品 | Prefetch/Amcache/SRUM/ShimCache | bash_history / wtmp / lastlog | Windows 制品种类远多于 Linux |
| Shell | cmd.exe / PowerShell | bash / sh / zsh | PowerShell 是双刃剑 |
| 域环境 | Active Directory | 无原生等价物 | 域是 Windows 独有复杂度 |
| 补丁管理 | Windows Update / WSUS | apt / yum / dnf | — |
| 包管理 | winget / choco (第三方) | apt / yum / pacman | Windows 包管理较晚成熟 |
前置知识要求
必备知识
已完成 Linux应急响应 系列的全部学习
理解 TCP/IP 协议栈基础(至少到 L4)
熟悉至少一种脚本语言(Python / Bash / PowerShell 任一)
了解基本的恶意软件类型(Trojan、RAT、Ransomware、Miner、Webshell)
理解进程、线程、内存的基本概念
推荐补充
基本的 Active Directory 概念(域、DC、OU、GPO)
使用过 Windows Server(安装过 IIS / SQL Server)
了解 MITRE ATT&CK 框架(至少浏览过 Windows 平台技术列表)
英文技术文档阅读能力(微软文档以英文为主)
自检清单
回答以下问题来评估自己的准备程度:
[ ] 能否解释 Linux 下 crontab 持久化的排查方法?
[ ] 能否通过 /var/log/auth.log 分析 SSH 暴力破解?
[ ] 是否了解 Webshell 的基本原理和检测思路?
[ ] 能否使用 Wireshark 分析基本的网络流量?
[ ] 是否了解 NTLM Hash 和 Kerberos TGT 的区别?
如果以上问题有 3 个以上无法回答,建议先回顾 Linux应急响应 并补充 Windows 基础知识。
版本与更新记录
| 日期 | 版本 | 变更内容 |
|---|---|---|
| 2026-04-02 | v1.0 | 初始版本,完成全部 37 页框架 |
快速导航
从这里开始 → 00-学习路线
系统基础 → 01-系统基础与注册表
命令速查 → 02-排查命令速查
事件日志 → 03-事件日志分析
取证制品 → 04-取证制品分析
账户排查 → 05-账户安全排查
进程网络 → Windows应急响应/06-进程与网络排查
全量持久化 Checklist → 30-持久化综合Checklist
Sysinternals → 31-Sysinternals套件
KAPE 与 Velociraptor → Windows应急响应/36-KAPE与Velociraptor
返回 Linux 系列 → Linux应急响应
| 下一章 | |
|---|---|
| 00-学习路线 |