经验分享 | HVV之windows应急笔记

Windows应急不太可能只手敲命令吧，快速应急需要运用各种工具才能快速发现问题，这里是应急工具包：

链接：

https://pan.baidu.com/s/1Y2oyrerR7S5x0h1KNDNWLw

提取码：

hexg

用得比较多的是火绒剑，卡巴斯基，火绒，D盾，（PCHunter一般发现外联地址或者进程可疑才上，其它工具看服务器性能，性能差查杀就上一个工具好了）

大佬总结的应急笔记（非常全但很多时候会给多个ip上机，按他的笔记可能效率太低）：

https://github.com/Bypass007/Emergency-Response-Notes

微步沙箱：

https://s.threatbook.cn

自己的模板

总结：

1，网络有外联ip但对应进程正常。

2，木马查杀异常，5个有问题文件但非近期创建且排查出可能是误报。

3，host文件被修改为挖矿地址，非红队

对业务人员处置建议：

1.对非业务风险文件删除，2.修改host文件，删除恶意地址，

3.账号登录无异常

(查看事件查看器→查看管理员登录时间和4625登录失败 4624登录成功 4720 — 账户创建筛选日志–》事件id)4625,4624,4720查看管理员登录正常

Aspx系统账号未知，但早已禁用

查看服务器无隐藏账号、克隆账号。

2.网络连接异常

(主要看是否外联ip,是否和内网可疑沦陷或攻击ip有联系，有就查相关进程，D盾会自动更新也可能有外联是D盾的ip，这微步查就知道）

存在外联ip，但相关进程正常

14x.1xx.x79.xx

对应进程，java.exe，无异常

上PCHunter

发现进程模块是火绒公司但还是查一下

对可疑模块排查，查杀，创建时间非近期，正常非恶意

创建时间非近期

3.进程无异常

（主要看签名，是否外联ip，进程文件创建时间，不放心可以查杀或者沙箱跑一下，这个火绒剑结合PCHunter看）

4.计划任务，启动项无异常

计划任务为微软的无异常

启动项非近期创建无异常，而且为正常软件

5.Host文件异常

被修改过，为恶意挖矿木马地址

6.木马查杀异常

dc:后跟日期，检查创建时间为1999年01月01日，后缀为.txt的文件。

dm:后跟日期，检查修改时间为1999年01月02日，名称包含te和.的文件。

da:后跟时间，检查访问时间为1999年01月03日的文件

Webshell扫描异常，对可疑jsp文件排查，发现非近期创建，打开查看是注释里的eval误报，看是web系统自身文件沙箱检查正常

Vbs非近期创建，沙箱检也检测正常（这个后来业务也说是他们业务文件）