一、基础信息获取与进程定位

1.1、确认进程关键信息

首先向管理员索要外联进程的进程名、PID（进程 ID）、目标 IP / 域名及端口号。若未提供，可自行通过以下方式获取：

netstat -ano | findstr "ESTABLISHED"  # 显示活跃连接及PID
tasklist | findstr "PID号"  # 根据PID查找进程名
wmic process where "name='进程名.exe'" get ExecutablePath # 按进程名查询（适用于单进程）
wmic process where "ProcessId=PID数字" get ExecutablePath # 用 PID 查询对应路径

1.2、进程合法性初步验证

• 路径检查：在任务管理器中右键进程 → 打开文件所在位置，确认路径是否为系统目录（如C:\Windows\System32）。若位于AppData、Temp等目录需高度警惕。
• 签名验证：使用微软工具sigcheck验证进程数字签名（需要提前安装）

sigcheck -v "进程路径"  # 显示签名信息，无签名或未知发布者为异常

若提示"Signature verified: No"，需立即终止进程并进一步分析。
可以直接看该进程的属性，查看数字签名选项

二、网络连接深度分析

2.1、目的IP/域名溯源

• 归属地查询：查看是否为恶意 IP
• 域名解析验证：nslookup 目标域名 8.8.8.8 # 使用Google DNS验证真实解析结果，若本地解析结果与公共 DNS 不一致，可能存在 DNS 劫持。

2.2、端口与协议检查

• 端口性质判断：参考 Windows 动态端口范围（49152-65535 为正常临时端口），若连接端口为4444（Metasploit 默认端口）或8080（Webshell 常用端口），需重点排查
• 协议分析：使用 Wireshark 过滤目标 IP 和端口，检查传输数据是否为加密流量（如 TLS 握手）或异常协议（如 DNS 隧道）

三、进程行为与系统异常排查

3.1、进程启动与依赖分析

• 启动命令检查：在任务管理器中右键进程 → 属性，查看命令行字段。若包含可疑参数（如-d 192.168.1.100）或调用非系统 DLL（如rundll32.exe C:\恶意.dll），可能为恶意进程。
• DLL 注入检测：若发现svchost.exe加载非系统目录的 DLL，可能为恶意注入。

tasklist /m | findstr "进程名"  # 列出进程加载的DLL；

但是上面的方式只能列出加载的dll文件，没有显示路径
查找进程并获取加载的所有 DLL 路径

Get-Process -Name "ApifoxAppAgent" | Select-Object