Windows 电脑发现老是自动访问外网的域名排障步骤
Windows 电脑发现老是自动访问外网的域名,如何排障
- 一、基础信息获取与进程定位
-
- 1.1、确认进程关键信息
- 1.2、进程合法性初步验证
- 二、网络连接深度分析
-
- 2.1、目的IP/域名溯源
- 2.2、端口与协议检查
- 三、进程行为与系统异常排查
-
- 3.1、进程启动与依赖分析
- 3.2、系统异常行为扫描
- 四、恶意软件与后门清除
-
- 4.1、全面病毒扫描
- 4.2、应急响应措施
- 五、查看系统信息
-
- 查看系统账号
- 查看系统信息
- 查看系统日志
- 六、检查启动项、计划任务、服务
-
- 检查启动项(开机自动运行的程序)
- 注册表
- 检查计划任务(定时 / 触发式运行的程序)
- 服务
- 如何判断启动项是否异常?
- 五、验证与报告
-
- 5.1、操作确认与日志留存
- 5.2、结果反馈与协同处置
一、基础信息获取与进程定位
1.1、确认进程关键信息
首先向管理员索要外联进程的进程名、PID(进程 ID)、目标 IP / 域名及端口号。若未提供,可自行通过以下方式获取:
netstat -ano | findstr "ESTABLISHED" # 显示活跃连接及PID
tasklist | findstr "PID号" # 根据PID查找进程名
wmic process where "name='进程名.exe'" get ExecutablePath # 按进程名查询(适用于单进程)
wmic process where "ProcessId=PID数字" get ExecutablePath # 用 PID 查询对应路径
1.2、进程合法性初步验证
- 路径检查:在任务管理器中右键进程 → 打开文件所在位置,确认路径是否为系统目录(如C:\Windows\System32)。若位于AppData、Temp等目录需高度警惕。
- 签名验证:使用微软工具sigcheck验证进程数字签名(需要提前安装)
sigcheck -v "进程路径" # 显示签名信息,无签名或未知发布者为异常
若提示"Signature verified: No",需立即终止进程并进一步分析。
可以直接看该进程的属性,查看数字签名选项
二、网络连接深度分析
2.1、目的IP/域名溯源
- 归属地查询:查看是否为恶意 IP
- 域名解析验证:nslookup 目标域名 8.8.8.8 # 使用Google DNS验证真实解析结果,若本地解析结果与公共 DNS 不一致,可能存在 DNS 劫持。
2.2、端口与协议检查
- 端口性质判断:参考 Windows 动态端口范围(49152-65535 为正常临时端口),若连接端口为4444(Metasploit 默认端口)或8080(Webshell 常用端口),需重点排查
- 协议分析:使用 Wireshark 过滤目标 IP 和端口,检查传输数据是否为加密流量(如 TLS 握手)或异常协议(如 DNS 隧道)
三、进程行为与系统异常排查
3.1、进程启动与依赖分析
- 启动命令检查:在任务管理器中右键进程 → 属性,查看命令行字段。若包含可疑参数(如-d 192.168.1.100)或调用非系统 DLL(如rundll32.exe C:\恶意.dll),可能为恶意进程。
- DLL 注入检测:若发现svchost.exe加载非系统目录的 DLL,可能为恶意注入。
tasklist /m | findstr "进程名" # 列出进程加载的DLL;
但是上面的方式只能列出加载的dll文件,没有显示路径
查找进程并获取加载的所有 DLL 路径
Get-Process -Name "ApifoxAppAgent" | Select-Object