小技巧0x01 查找文件 ¶1. Everything ¶Windows 部分机制可以用来快速查找文件，比较常用的工具就是 everything https://www.voidtools.com/zh-cn/ 便携版直接打开就可以，需要管理员权限 1) 查找特定类型的文件 ¶视图 -> 筛选器 这里可以寻找我们想要类型的文件，当然，大家也可以通过通配符+文件后缀的方式进行筛选 2) 根据正则表达式查找文件 ¶以匹配一个 Python 安装包为例 python-\d+\.\d+\.\d+-amd64\.exe 搜索 -> 使用正则表达式 3) 根据文件内容查找文件 ¶搜索 -> 高级搜索 高级搜索中包含很多选项，我们可以按照实际情况进行勾选，这里在 文件内容中包含的单词或短语(I) 处填入要检索的文件中包含的内容 请注意，这种搜索时间可能比较长，需要等待 4) 根据时间筛选文件 ¶默认并没有这个搜索和筛选选项，不过可以通过添加栏目的方式“曲线救国” 这里以创建时间为例 可以选择要查找的文件类型后再通过排序的方式查找符合创建时间的文件 当 ...

常规安全检查 案例操作系统为 Windows Server 2016 root 账户来模拟普通用户账户 Administrator 为管理员账户 admin$ 账户来模拟隐藏普通账户 Windows 命令行常规情况下是不区分大小写的，因此大小写都可以 0x00 杀毒软件 ¶如果应急响应过程中允许，使用杀毒程序进行全盘杀毒肯定非常有帮助的，目前很多企业都有自己的终端管控程序，其中部分自带病毒库和杀毒功能，如果允许可以考虑异构排查 需要注意，大部分杀毒软件都有白名单等功能，全盘查杀可能会跳过这些内容，建议注意是否存在白名单情况，对白名单详细排查 0x01 近期活动 ¶这部分偏取证一些，不过对于很多应急场景，例如恶意文件被删除了，分析程序执行非常有用，这部分主要参考以下网址，感谢分享 https://www.sans.org/posters/windows-forensic-analysis/ https://3gstudent.github.io/%E6%B8%97%E9%80%8F%E6%8A%80%E5%B7%A7-Windows%E7%B3%BB%E7%BB%9F%E6%96%8 ...

知识点附录0x01 谁可以使用远程桌面服务 ¶Windows 中确定可登录账号要比 Linux 麻烦一些 默认情况下，开启远程桌面登录，将自动允许以下两个组的成员登录 Administrators Remote Desktop Users 搜索计算机管理 计算机管理(本地) -> 系统工具 -> 本地用户和组 默认情况下 Remote Desktop Users 组是空的，抛开运维人员额外配置以外，还有一种情况会将用户添加到该组 如果在此处点击选择用户，之后就可以选择用户拥有使用远程桌面连接的权限 输入想要使用远程桌面的用户名，点击检查名称后，会自动识别匹配计算机中的用户名 此时点击确定， remotetest 用户就可以使用远程桌面连接服务器了 在计算机管理的用户和组中可以看到， remotetest 已经被添加到 Remote Desktop Users 组了 Windows 中可以通过组策略设置允许/拒绝某个用户/用户组 通过远程桌面登录 win + r 或点击搜索图标，填入 Gpedit.msc 本地计算机 策略 -> ...

MSSQL 事件排查MSSQL 应急排查部分已经有微步在线应急响应团队、深信服千里目实验室写得非常详细了，本部分基本也就是对其文章的提炼，建议大家阅读 《知攻善防～SQL Server 应急分析（上&下）》、《MSSQL数据库攻击实战指北 | 防守方攻略》 https://mp.weixin.qq.com/s/omDWZ0MK-WRTICXK3K9dZA https://mp.weixin.qq.com/s/zfUJnAiSzm-gwYVWxGT7Cw https://mp.weixin.qq.com/s/ug5LmTIbrd_jVG-euNr8aw 0x00 固定证据 ¶在发生任何安全事件时，确定安全事件真实存在以后，第一步都建议固定证据，固定证据一般有以下几种类型，受害单位可以根据实际需求选择 系统快照 - 一般云环境比较方便这么做 磁盘取证 针对性取证 - 例如日志文件、网络信息、数据库等 内存取证 系统快照 ¶这种主要是云环境或虚拟化环境比较方便，目前似乎这类方式取证出来的内容都会丢失内存信息，属于是关机-快照-导出 虚拟机软件似乎支持例如暂停、冻结等功能，具体 ...

善后阶段0x01 定损 ¶ 定损过程就是确定受害范围的过程，此过程主要是与网络安全负责人、系统管理员、应用管理员、网络管理员等进行沟通交流 统计出与受害系统使用了相同密码的服务器 统计出与受害系统部署了相同存在漏洞或特有服务的服务器, 例如负载均衡下的服务器 统计出与受害系统同一管理人员管理下的服务器, 主要是系统管理员和应用管理员 统计出受害系统可以使用 ssh 密钥直接登录的服务器 统计出受害系统可以使用 RDP 已保存信息直接登录的服务器 统计出受害系统受害期间频繁交互的服务器 … 0x02 针对性排查处理 ¶ 如果服务器数量不多，可以按照常规安全检查章节对服务器进行安全检查 若服务器数量较多，可以通过安全设备查看是否存在来自这些服务器发起的攻击, 对内发起攻击 对外发起攻击 修改这些服务器的密码，尽量保证每一台服务器密码均不同，且为强口令

隧道事件0x00 简介 ¶隧道事件的事件来源一般有以下几种： 流量设备发现存在网络隧道 主机安全程序发现存在网络隧道或相关文件、进程 排查过程中发现存在跳板机痕迹等，进而发现隧道 运维相关人员发现异常端口等 其实大家可以发现，处理隧道与处理远控后门没有太大的区别，因为隧道本身就是后门大概念中的一部分，所以也是通过各种特征找到 PID ，进而处理 大多数协议隧道都包含两点特征 ： 存在短时间、单一目标、频繁请求的该协议的数据包 可能出现额外本地到本地的连接 (127.0.0.1:xx -> 127.0.0.1:xx) 大家需要明白一点，发现隧道并不是应急人员要做的，验证处理才是，现在隧道程序五花八门，尝试去记住特征并识别意义并不大，下面的部分也仅仅是介绍一些隧道技术与正常网络连接的差异，如果隧道程序想做，完全可以做到和正常网络连接没区别 这里给大家推荐一篇总结内网代理工具与检测方法研究的文章，下面部分内容参考该文章 https://mp.weixin.qq.com/s?__biz=MzkzNjMxNDM0Mg==&mid=2247483876&idx=1& ...

非持续性事件0x00 简介 ¶ 持续性的挖矿、远控后门等可以通过直接排查发现，但是在实际工作中，很多恶意行为（访问恶意域名、连接恶意IP）只集中出现了几次，无法直接通过网络连接找到恶意进程及文件或者有些恶意程序处置结束后，无法确定是否已经清理完整 可以通过一段网络监控来解决 0x01 固定证据 ¶在发生任何安全事件时，确定安全事件真实存在以后，第一步都建议固定证据，固定证据一般有以下几种类型，受害单位可以根据实际需求选择 系统快照 - 一般云环境比较方便这么做 磁盘取证 针对性取证 - 例如日志文件、网络信息、数据库等 内存取证 系统快照 ¶这种主要是云环境或虚拟化环境比较方便，目前似乎这类方式取证出来的内容都会丢失内存信息，属于是关机-快照-导出 虚拟机软件似乎支持例如暂停、冻结等功能，具体根据实际情况决定 磁盘取证 ¶磁盘取证有很多工具可以考虑 dd FTK Imager 针对性取证 ¶这部分推荐我们自己的 NOPTrace-Collector https://github.com/Just-Hack-For-Fun/NOPTrace-Collector 我们还推出了 ...

钓鱼事件 0x00 固定证据 ¶在发生任何安全事件时，确定安全事件真实存在以后，第一步都建议固定证据，固定证据一般有以下几种类型，受害单位可以根据实际需求选择 系统快照 - 一般云环境比较方便这么做 磁盘取证 针对性取证 - 例如日志文件、网络信息、数据库等 内存取证 系统快照 ¶这种主要是云环境或虚拟化环境比较方便，目前似乎这类方式取证出来的内容都会丢失内存信息，属于是关机-快照-导出 虚拟机软件似乎支持例如暂停、冻结等功能，具体根据实际情况决定 磁盘取证 ¶磁盘取证有很多工具可以考虑 dd FTK Imager 针对性取证 ¶这部分推荐我们自己的 NOPTrace-Collector https://github.com/Just-Hack-For-Fun/NOPTrace-Collector 我们还推出了一套数字取证和应急响应规范，可以根据此规范自己开发取证程序 https://github.com/Just-Hack-For-Fun/OpenForensicRules 内存取证 ¶ DumpIt FTK Imager 取证后，对证据进行分析时，需要先单独复制一 ...

暴力破解 0x00 固定证据 ¶在发生任何安全事件时，确定安全事件真实存在以后，第一步都建议固定证据，固定证据一般有以下几种类型，受害单位可以根据实际需求选择 系统快照 - 一般云环境比较方便这么做 磁盘取证 针对性取证 - 例如日志文件、网络信息、数据库等 内存取证 系统快照 ¶这种主要是云环境或虚拟化环境比较方便，目前似乎这类方式取证出来的内容都会丢失内存信息，属于是关机-快照-导出 虚拟机软件似乎支持例如暂停、冻结等功能，具体根据实际情况决定 磁盘取证 ¶磁盘取证有很多工具可以考虑 dd FTK Imager 针对性取证 ¶这部分推荐我们自己的 NOPTrace-Collector https://github.com/Just-Hack-For-Fun/NOPTrace-Collector 我们还推出了一套数字取证和应急响应规范，可以根据此规范自己开发取证程序 https://github.com/Just-Hack-For-Fun/OpenForensicRules 内存取证 ¶ DumpIt FTK Imager 取证后，对证据进行分析时，需要先单独复制一 ...