应急响应的重要性

近年来信息安全事件频发，信息安全的技能、人才需求大增。现在，不管是普通的企业，还是专业的安全厂商，都不可避免的需要掌握和运用好信息安全的知识、技能，以便在需要的时候，能够御敌千里。所谓养兵千日，用兵一时，拥有一支完善的团队或完整的流程，可以保障企业在出现重大安全事件时，能有条不紊的进行处置，及时把破坏范围缩小。
且在即将开始的护网中，应急响应也是其中非常重要的一环，学好应急响应能让你在面试中如虎添翼。

开机启动项

• 1、利用操作系统中的启动菜单C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
• 2、利用系统配置msconfig
• 3、利用注册表regedit HKEY CURRENT USERS/software/Microsoft/Windows/CurrentVersion/Run
  
  
  

temp文件分析

temp(临时文件夹)，位于C:\Documents and Settings\AdministratorLocal Settings\内。很多临时文件放在这里，用来收藏夹，浏览网页的临时文件，编辑文件等。

• 查看temp文件夹发现PE文件 (exe、di1sys)，或者是否具有特别大的tmp文件
• 将文件上传到 https://wwwvirustotal.com/ 进行查看，是否为恶意代码
  文章分享

浏览器信息分析

• 浏览器浏览痕迹查看
• 浏览器Cookie信息查看
• 浏览器文件下载记录查看

文件时间属性分析

如果修改时间要早于创建时间那么这个文件存在很大可疑。使用中国菜刀等工具修改的 修改时间，通过文件属性可以查看到创建时间、修改时间、访问时间。

最近打开文件分析

Windows系统中默认记录系统中最近打开使用的文件信息。可以在目录C:\Documents and Settings\Administrator Recent 下查看，也可以使用 win+R打开运行%userprofile%\recent查看。

进程分析

• netstat-ano | find“ESTABLISHED”查看网络建立连接状态
• tasklist /svc | find “PID” 查看具体PID进程对应的程序
• taskkill /PID pid值 /T 关闭进程
  
  

计划任务

• schtasks.exe
• 任务计划程序
  
  

隐藏账户的发现添加与删除

• 最为简单的隐藏账户建立: net user test$ test /add && net localgroup administrator test$ /add
• 计算机管理->本地用户和组->用户
• 注册表 HKEY_LOCAL_MACHINE/HARDWARE/SAM/SAM/DOMAINS/ACCOUNT/USERS/NAMES
• 
  
  这样添加的用户无法在该命令中被发现，可以在计算机管理和注册表中看到
  
  若在这其中也被隐藏，只能看注册表了。
  

恶意进程发现及关闭

使用工具psexplore 找到恶意程序之后在进程列表中删除。

psexplore可以联动VirusTotal进行恶意代码分析并进行查杀。
下载链接

补丁信息

• control->程序->已安装更新
• systeminfo
• win+i更新
  
  

webshell查杀

D盾、河马webshell