应急响应 - Windows启动项分析，Windows计划任务分析，Windows服务分析

《网络安全自学教程》

一、启动项分析

很多恶意程序会把自己添加到系统启动项中，在开机时自动运行。

1、系统启动项

Windows自带的系统配置程序，用来管理系统启动项、系统服务等。

WIN + R，输入msconfig，右键自定义显示列或查看文件位置，查看启动项中是否有异常的启动项目。

提示：不包含组策略启动、注册表启动项；Win10的启动项移动到任务管理器里面了。

2、组策略启动项

WIN + R，输入gpedit.msc，打开本地组策略编辑器，查看是否有异常的启动脚本。

1. 【计算机配置】-【Windows设置】-【脚本（启动/关机）】
2. 【用户配置】-【Windows设置】-【脚本（登录/注销）】

3、注册表启动项

WIN + R，输入regedit，打开注册表。

# 用户设置的启动项，重点排查，删除后不影响系统运行。
\HCU\Software\Microsoft\Windows\CurrentVersion\Run
\HCU\Software\Microsoft\Windows\CurrentVersion\RunOnce # 默认不存在，使用时创建。
# 用户自启动路径
HU\{SID}\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HU\{SID}\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
# 系统设置的启动项，一般是第三方软件的驱动程序，谨慎删除，可能会对系统造成影响。
\HLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
\HLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
\HLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEX # 默认不存在
# 系统启动项，不要随便删除，否则会影响系统的正常运行。
\HLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run
\HLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce
\HLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnceEx # 默认不存在

# 用户登录时初始化组件，看StubPath有没有指向其他路径。
\HLM\SOFTWARE\Microsoft\Active Setup\Installed Components\*\StubPath
# 系统管理用户登录过程
\HLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
\HLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon
# 系统打印监视器，系统启动或打印时以system权限调用，看子项的DLL有没有指向其他路径。
\HLM\SYSTEM\CurrentControlSet\Control\Print\Monitors
# 系统打印处理器，系统启动或打印服务重启时以system权限调用，看子项的DLL有没有指向其他路径。
\HLM\SYSTEM\CurrentControlSet\Control\Print\Environments\Windows x64\Print Processors\winprint
# Authentication Packages 的值定义系统加载的DLL文件，在用户登录时验证用户身份。
# Security Packages 的值指定系统支持的安全协议，验证RDP、SMB等网络身份。
HLM\SYSTEM\CurrentControlSet\Control\Lsa\
# 系统身份验证相关的配置
HLM\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig
# 系统时间服务器配置，看相关dll有没有指向其他路径、禁用(NtpClient的Enabled=0)或指向其他时间服务器来掩盖攻击时间线。
HLM\System\CurrentControlSet\Services\W32Time\TimeProviders\


# 系统服务启动项，已逐步弃用，默认不存在。
HLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
# 当前登录用户的服务启动项，已逐步弃用，默认不存在。
HCU\Software\Microsoft\Windows\CurrentVersion\RunServices
HCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
# 用户登录时执行的脚本，默认不存在
\HCU\Environment\UserInitMprLogonScript
# 下面这些也是默认不存在
\HLM\SYSTEM\CurrentControlSet\Control\Session Manager
\HCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load
\HCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
\HCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
\HLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup
\HLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run

# 通过组策略配置的启动项，没有组策略时不存在，看哪些是组策略里没有但这里有的。
HLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

# 如果注册表的用户自启动目录被修改了，排查时要记得找新目录。
# 设置全局用户自启动目录，看Common Startup有没有指向其他路径
\HLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders # 优先级高
\HLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
# 设置用户自启动目录，看Startup有没有指向其他路径。
\HCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders # 优先级高
\HCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

4、用户登录自启动

WIN + R，输入shell:Common startup，打开全局用户自启动目录，用户登录时，以登录用户权限自动执行。

默认路径：C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup。

用户自启动目录，每个用户对应一个启动目录，在对应用户登录时以对应用户权限执行；
Default是新建用户的默认家目录配置，本身不会自动执行，但新建用户会执行。

C:\Users\用户名\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

5、msinfo32

msinfo32是Windows自带的系统信息工具，可以查看系统的启动程序。

WIN + R，输入msinfo32，打开系统信息工具。

点【软件环境】-【启动程序】- 检查右侧启动程序是否有异常程序。

二、计划任务分析

很多恶意程序会把自己添加到计划任务中，在固定时间启动。

1、任务计划程序

控制面板里搜计划任务，打开任务计划程序。

或者WIN + R，输入taskschd.msc，打开任务计划程序。

检查是否有异常的计划任务。

2、schtasks

schtasks.exe是计划任务程序的命令执行方式，两者的操作实时同步。

打开cmd，输入schtasks，默认展示所有的计划任务。

三、服务自启动分析

WIN +R，输入services.msc，打开服务工具。

单击启动类型排序，重点查看启动类型为【自动】的服务。