白加黑应急响应思路

参考文章：

https://blog.csdn.net/weixin_30539625/article/details/95271542

 常见攻击手段：https://blog.csdn.net/Rick66Ashley/article/details/138920118?utm_medium=distribute.pc_relevant.none-task-blog-2~default~baidujs_baidulandingword~default-0-138920118-blog-78789806.235^v43^pc_blog_bottom_relevance_base8&spm=1001.2101.3001.4242.1&utm_relevant_index=1

白加黑简要概述

简单来说就是一个白（安全）的exe文件，调用黑（恶意的）dll文件，可以对dll文件进行一些编码，进而绕过杀软的免杀方式

白加黑详细制作方式

https://cloud.tencent.com/developer/article/2360981

https://xz.aliyun.com/t/14075?time__1311=mqmx9DBG0Q9QD%2FD0Dx2DUhYxnjcj3m3x&alichlgref=https%3A%2F%2Fwww.baidu.com%2Flink%3Furl%3D4BckOREqSoCxjZQY1PjhRdIzxyDPWeb2RJ8SVXx6lMw5fyJYwNwbLehKMgJT6B03%26wd%3D%26eqid%3De6cf21d4004d154e00000003668bdcd1

https://blog.csdn.net/Y7472821/article/details/134056666

 https://blog.csdn.net/qq_62169455/article/details/136006215

 

查杀思路

参考文章：

https://download.csdn.net/download/m0_64111146/89277127?spm=1001.2101.3001.6650.1&utm_medium=distribute.pc_relevant.none-task-download-2%7Edefault%7EOPENSEARCH%7EPaidSort-1-89277127-blog-95271542.235%5Ev43%5Epc_blog_bottom_relevance_base8&depth_1-utm_source=distribute.pc_relevant.none-task-download-2%7Edefault%7EOPENSEARCH%7EPaidSort-1-89277127-blog-95271542.235%5Ev43%5Epc_blog_bottom_relevance_base8&utm_relevant_index=2

https://blog.csdn.net/ioio_jy/category_2679923.html

https://blog.csdn.net/weixin_30539625/article/details/95271542

https://blog.csdn.net/dsb2468/article/details/81292278?spm=1001.2014.3001.5501方式4根据源码查杀

https://zhuanlan.zhihu.com/p/615553669

https://www.freebuf.com/articles/network/385818.html

https://blog.csdn.net/weixin_43965597/article/details/136711806

1.查看exe数字签名信息，使用sigcheck.exe检测exe是否签名

2.使用sigcheck.exe软件检测软件dll是否签名（未进行签名也可能是dll版本过老或者存疑。微软官方系统中的有些文件也是没有数字签名的）

3.查杀率最高的方法，直接对比相同文件的属性里面的数字签名详细信息里面的序列号值

4.放到idea中查看源码

5.netstat -ano netstat表示查看网络状态，-a为查看所有连接及其侦听接口，-n表示数字形式不解析，-o表示显示进程的PID。然后提取ip，威胁情报api调用，确定哪个为恶意ip由此定位到其所在进程再确定文件。

6.exe只带有一个dll的文件

7.查看时间戳，时间戳比较新的也有可能比较异常