windows应急响应检测辅助脚本

执行限制：个人设备检测正常；企业设备可能因组策略限制导致检测失败。

功能定位：识别近 90 天内可疑远程登录行为，区分成功 / 失败事件特征，结果输出到check_remote_login.txt，结果输出格式为：时间+++++用户名+++++成功/失败

1、对于 4624（成功登录）：检查 StringInserts[8]（登录类型）是否为 3（对应 “Network 类型” 远程登录）。

2、对于 4625（失败登录）：直接提取用户名和 SID（无登录类型过滤，可能包含本地失败记录）。

功能定位：遍历常用应用路径，识别潜在恶意文件载体

目标路径：

1、聊天软件：微信、企业微信、钉钉、QQ 安装目录及用户数据文件夹
2、浏览器：Chrome、Edge、Firefox 下载目录及缓存路径

文件特征：

1、压缩文件：.zip、.rar、.7z、.tar、.gz、.tar.gz
2、可执行文件：.exe、.msi、.com、.bat、.cmd、.scr、.hta
3、重点监控：包含 RLO（反向链接对象）特征的可执行文件扩展名

功能定位：发现未经授权的自启动实体，覆盖隐蔽启动渠道

1、脚本通过多种方式检测 Windows 系统中可能在开机或用户登录时自动运行的程序/服务，并将结果整理到启动项检测结果.txt。

2、检测内容有注册表启动项、系统服务启动项、启动文件夹项、开机计划任务、Winlogon 登录启动项、WMI 事件订阅

功能定位：协助快速定位异常网络行为与可疑进程

1、主要分析内容有 监听端口与进程分析（前100个）、进程外联地址分析（前100条）、运行中服务与文件路径（前100个）。

2、通过预设规则检测潜在的可疑行为（如恶意进程、伪装服务等），此项有误报。

执行限制：个人设备检测正常；企业设备可能因组策略限制导致检测失败，该项检测超过3秒，请手动关闭脚本。

功能定位：发现隐蔽账户、权限滥用痕迹及异常账户状态

1、通过 WMI（Windows 管理规范）接口获取系统用户账户信息，结合 Windows 账户的典型特征（如 SID 唯一性、隐藏账户命名规则），检测隐藏账户、克隆账户、异常状态账户（被禁用或未启用）。

pip install -r requirements.txt -i https://mirrors.aliyun.com/pypi/simple/

使用管理员权限，进入cmd终端执行

python3 mainscan.py

终端会提示扫描的进度