一、基礎信息獲取與進程定位

1.1、確認進程關鍵信息

首先向管理員索要外聯進程的進程名、PID（進程 ID）、目標 IP / 域名及端口號。若未提供，可自行通過以下方式獲取：

netstat -ano | findstr "ESTABLISHED"  # 顯示活躍連接及PID
tasklist | findstr "PID號"  # 根據PID查找進程名
wmic process where "name='進程名.exe'" get ExecutablePath # 按進程名查詢（適用于單進程）
wmic process where "ProcessId=PID數字" get ExecutablePath # 用 PID 查詢對應路徑

1.2、進程合法性初步驗證

• 路徑檢查：在任務管理器中右鍵進程 → 打開文件所在位置，確認路徑是否為系統目錄（如C:\Windows\System32）。若位于AppData、Temp等目錄需高度警惕。
• 簽名驗證：使用微軟工具sigcheck驗證進程數字簽名（需要提前安裝）

sigcheck -v "進程路徑"  # 顯示簽名信息，無簽名或未知發布者為異常

若提示"Signature verified: No"，需立即終止進程并進一步分析。
可以直接看該進程的屬性，查看數字簽名選項

二、網絡連接深度分析

2.1、目的IP/域名溯源

• 歸屬地查詢：查看是否為惡意 IP
• 域名解析驗證：nslookup 目標域名 8.8.8.8 # 使用Google DNS驗證真實解析結果，若本地解析結果與公共 DNS 不一致，可能存在 DNS 劫持。

2.2、端口與協議檢查

• 端口性質判斷：參考 Windows 動態端口范圍（49152-65535 為正常臨時端口），若連接端口為4444（Metasploit 默認端口）或8080（Webshell 常用端口），需重點排查
• 協議分析：使用 Wireshark 過濾目標 IP 和端口，檢查傳輸數據是否為加密流量（如 TLS 握手）或異常協議（如 DNS 隧道）

三、進程行為與系統異常排查

3.1、進程啟動與依賴分析

• 啟動命令檢查：在任務管理器中右鍵進程 → 屬性，查看命令行字段。若包含可疑參數（如-d 192.168.1.100）或調用非系統 DLL（如rundll32.exe C:\惡意.dll），可能為惡意進程。
• DLL 注入檢測：若發現svchost.exe加載非系統目錄的 DLL，可能為惡意注入。

tasklist /m | findstr "進程名"  # 列出進程加載的DLL；

但是上面的方式只能列出加載的dll文件，沒有顯示路徑
查找進程并獲取加載的所有 DLL 路徑

Get-Process -Name "ApifoxAppAgent" | Select-Object