木马的排除与防护

作为学习者，我仅将所学知识进行系统梳理和总结。如有任何疏漏或错误，敬请指正

进程、服务、启动项、计划任务的定义

进程：操作系统中程序的一次执行实例，是资源分配和调度的基本单位。
服务：在后台运行的程序，通常以系统权限启动，无用户界面。
启动项：Windows系统在开机或用户登录时自动运行的程序或服务。
计划任务：Windows系统用于定时执行特定任务的功能（如数据备份、软件更新等）。

Windows系统自带的排查方式

进程排查

• 任务管理器（Ctrl+Shift+Esc）：
  查看运行进程，重点关注：
  • 占用CPU/内存异常的进程
  • 进程路径异常（如临时目录C:\Windows\Temp）
• Msinfo32工具：
  Win+R输入msinfo32> 软件环境 > 正在运行任务，查看进程完整路径和启动命令。

服务排查

• 图形化方式：
  Win+R输入services.msc，查看服务列表，重点关注：
  • 状态为“运行中”但未知的服务
  • 启动类型为“自动”且无明确厂商信息的服务
• 命令行方式：
  执行net start命令查看所有运行中的服务。

启动项排查

• 任务管理器：
  Ctrl+Shift+Esc切换到「启动」选项卡，禁用陌生启动项。
• 文件路径检查：
  • 用户级：C:\Users\[用户名]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
  • 系统级：C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
• 注册表检查：
  • 用户级：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • 系统级：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

计划任务排查

• 图形化方式：
  Win+R输入taskschd.msc，展开「任务计划程序库」，查看：
  • 未知来源的任务
  • 触发条件为“开机”或“定时执行”的可疑任务
• 命令行方式：
  执行schtasks /query查看所有计划任务。

Windows系统日志分析

Windows日志记录硬件、软件及系统事件，可通过以下方式查看：

• 日志类型：

  • 应用程序日志：软件运行状态（路径：计算机管理 > 事件查看器 > Windows日志 > 应用程序）
  • 安全日志：账户登录、权限变更等（路径：计算机管理 > 事件查看器 > Windows日志 > 安全）
  • 系统日志：系统错误、服务启停（路径：计算机管理 > 事件查看器 > Windows日志 > 系统）

• 关键事件ID：

  • 4625：账户登录失败（检测暴力破解）
  • 4624：账户登录成功（排查异常登录）
  • 4720：创建用户账户（检测隐藏用户）
  • 4732：用户添加到管理员组（检测权限提升）
  • 4688：新进程创建（排查可疑进程）

木马防护措施

网络层

• 修改默认端口（如RDP 3389改为非默认端口）
• 配置IP白名单，仅允许授权设备访问
• 防火墙拦截危险端口（如139/445/3389）

账户层

• 设置强密码（长度≥12位，含大小写字母、数字、特殊符号）
• 启用账户锁定策略（如5次错误锁定30分钟）
• 禁用默认来宾账户，定期排查隐藏用户

系统层

• 定期通过Windows Update安装安全补丁
• 禁用危险协议（如SMBv1）和不必要的服务
• 启用审核策略，记录关键安全事件（登录、权限变更）

终端层

• 启用Windows Defender并保持更新
• 安装第三方杀毒软件（如火绒）
• 避免打开陌生附件或点击可疑链接