應急響應

1、安装并熟悉常见应急响应工具
[鷹眼]:

[D盾]:

[WinLogCheck]:

[TCPView]:

[火絨]:

[河馬webshell]:

2、掌握常见的windows、linux入侵排查思路和方法
a.[確認] 判斷是否為病毒是否誤判、利用應急響應工具排查是否有不明帳號於非上班日登入、異常服務啟動、異常外連
b.[隔離] 先將中毒機器斷網，保留證據"勿"重開機
c.[判定] 查詢入侵範圍、入侵方式、是否有外連記錄、外洩
d.[蒐證/分析] 利用應急響應工具排查是否有clone帳號、不明帳號、進程自啟動、網路連線是否有異常行為 > 匯出事件紀錄
e.[清除] 移除惡意帳號 > 程序檢查 > 服務檢查 > 排程檢查 > 重新設定登入密碼 > 封鎖惡意IP > 必要時重灌受感染機器
f.[改善] 修補漏洞、強化帳號權限，調整EDR/防火牆規則

3、掌握webshell后门查杀方法
[D盾]:

[河馬webshell]:

4、熟练使用wireshark并分析中国蚁剑webshell管理工具流量特征