Hw溯源反制思路

1、参加hw，通过设备对攻击行为进行分析，对存在明显攻击行为的IP进行溯源中，使用了一些溯源的方法，
获取到攻击IP后，先试用IP反查，查询此IP是否存在邮箱，手机信息泄露之类的，通过邮箱，手机号去获取攻击者信息
https://ti.qianxin.com/ 奇安信威胁情报中心
https://x.threatbook.cn/ 微步在线威胁情报社区
ip反查域名
域名查whois注册信息
域名查备案信息
域名反查邮箱
邮箱反查下属域名
域名反查注册人
注册人反查下属域名
2、在获取到手机号，邮箱的情况下，使用各种社交软件，攻击者可能使用的手机号，邮箱就是自己正在使用的，因此购物平台搜索是否存在此用户，这些平台可能会得到想不到的信息。比如：支付宝，微信，QQ，闲鱼，京东，淘宝，企业微信查等等，在这些软件中可以使用密码找回功能获取他的手机号，或者邮箱号，甚至是姓名。
3、程序PDB信息泄露
场景有很多，比如拦截捕获到了木马样本，比如shellcode loader，通过自己编译生成的这种程序，如果生成了调试信息，没有勾选否，那么就可能会造成PDB信息泄露。
例：某期间，抓到的木马样本，通过C32看到程序尾部的信息，找到了生成木马的主机用户名，通常情况下很多黑客都喜欢用自己的ID作为主机用户名，跟同事通过Twitter看到另外的大佬也捕获到了这个马子，推断是国外黑客，虽然最终没有准确溯源到人，但是这个是一种溯源的思路。
4、逆向思考攻击者是哪类人，在hw期间参加攻击队的人必然是大佬，大佬在成为大佬之前必然活跃与学校CTF战队，各个安全论坛中，在学校参加安全比赛获取到奖，名次，必然会在他们读书的学校官网上有他们获奖的记录，因此在溯源到攻击者IP，姓名，学校的时候可以去他们学校网站搜索一下，可能会获取到对方的照片与他们战队的照片
5、挖洞网站。
同样的hw期间的攻击队是大佬，大佬在挖漏洞的时候，可能会使用自己的手机号注册各种网站，通过这些网站存在此手机号，那么此网站可能存在漏洞，我们也可以挖一下。!