应急响应流程

应急响应的流程（Linux 和 Windows）

1、收集信息：搜集客户信息和中毒信息，备份
2、判断类型：判断是否是安全事件、是何种安全事件（勒索病毒、挖矿、断网、ddos等）
3、深入分析：日志分析、进程分析、启动项分析、样本分析等
4、清理处置：杀掉恶意进程、删除恶意文件、打补丁、修复文件，检查后门
5、产出报告：整理并输出完整的安全事件报告

windows应急

一、查看系统账号安全
    1、查看服务器是否有弱口令、可疑账号、隐藏账号、克隆账号、远程管理端口是否对公网开放
    2、win+r（eventwmr.msc）查看系统日志，查看管理员登录时间、用户名是否存在异常

二、检查异常端口、进程
    1、netstat -ano 检查端口连接情况，是否有远程连接、可疑连接
    2、tasklist | findstr "PID"根据pid定位进程
    3、使用功能查杀工具

三、启动项检查、计划任务、服务检查
    1、检查服务器是否有异常的启动项，msconfig看一下启动项是否有可疑的启动项
    2、检查计划任务，查看计划任务属性，可以发现木马文件的路径
    3、检查服务自启动项，services.msc注意服务状态和启动类型，检查是否有异常服务

四、检查系统相关信息
    1、查看系统版本以及补丁信息 systeminfo
    2、查找可疑目录及文件 是否有新建用户目录 分析最近打开