什么是应急响应.

一个组织为了 应对 各种网络安全 意外事件 的发生 所做的准备 以及在 事件发生后 所采取的措施 。说白了就是别人攻击你了，你怎么把这个攻击还原，看看别人是怎么攻击的，然后你如何去处理，这就是应急响应。

---

目录：

什么是应急响应.

应急响应工作流程：

常见的应急响应分类：

病毒处理的方法：

（1）检查系统 账号安全：

（2）检查有没有异常 网络 连接.（检查异常 端 口）

（3）根据上面的进程数 查看异常 进程.

（4）检查对应的进程数 服务.

（5）查看 开机启动项，是否也有异常的.

（6）定时计划.（任务计划）

病毒处理的方法：（工具辅助版）

（1）上传辅助分析工具（PCHunter），然后查看网络 看看有没有连接的.

（2）根据上面的进程数，点击进程 然后进行结束进程.

（3）查看启动项里面有没有，有的话也结束.

---

应急响应工作流程：

---

常见的应急响应分类：

---

病毒处理的方法：

---

实战案例介绍：当主机存在一个后门木马，正在被远程黑客进行连接，我们需要做的是进行排查出这个后门木马软件，进行关闭，删除，彻底删除后面不会再启动.

入侵排查思路 实战：应急响应：Windows 入侵排查思路.

---

（1）检查系统 账号安全：

查看黑客有没有添加了账号，添加了 则删除，防止下次黑客下次直接登录.

---

（2）检查有没有异常 网络 连接.（检查异常 端 口）

netstat -ano -p tcp|findstr "ESTABLISHED" 

-o                           #查看进程数.
-p                           #指定 tcp 协议.
findstr "ESTABLISHED"        #查找监听连接的.

---

如果没有监听连接的，则可以查找可疑.

netstat -ano -p tcp|findstr "LISTEHING" 

-o                           #查看进程数.
-p                           #指定 tcp 协议.
findstr "LISTEHING"          #查找可疑.

---

（3）根据上面的进程数 查看异常 进程.

---

发现是系统文件，删除不了 所以检查服务

---

（4）检查对应的进程数 服务.

services.msc      # 打开服务的.（但是里面没有进程数）（所以还是根据上面的那个来）

---

如果不能直接结束进程，可以使用 CMD 管理员进行结束.

taskkill /pid 844 -f

taskkill /pid 进程数 -f

---

如果服务里面还有，则可以删除服务.

sc delete 服务名

---

可以根据 进程数，查找是什么文件.

tasklist|findstr 2260

tasklist|findstr 进程数

---

根据 文件名，来找文件的位置.

wmic process | findstr "文件名"

---

（5）查看 开机启动项，是否也有异常的.

msconfig    # cmd 那里点击进行.

（win server 2008 r2 == win7 以 前 的是利用命令）

（win server 2008 r2 == win7 以 后 的是任务管理器看）

---

（6）定时计划.（任务计划）

---

病毒处理的方法：（工具辅助版）

（1）上传辅助分析工具（PCHunter），然后查看网络 看看有没有连接的.

（2）根据上面的进程数，点击进程 然后进行结束进程.（随便也删除了进程文件）

---

（3）查看启动项里面有没有，有的话也结束.

    

   

     

学习链接：06-手工杀毒流程_哔哩哔哩_bilibili