应急响应— 操作系统分析(病毒、后门）

一、操作系统(windows,linux)：

• 1.常见危害：暴力破解，漏洞利用，流量攻击，木马控制(Webshell,PC 木马等)，病毒感染(挖矿，蠕虫，勒索等)。

暴力破解：针对系统有包括rdp、ssh、telnet等，针对服务有包括mysql、ftp等，一般可以通过超级弱口令工具、hydra进行爆破
漏洞利用：通过系统、服务的漏洞进行攻击，如永恒之蓝等
流量攻击：主要是对目标机器进行dos攻击，从而导致服务器瘫痪
木马控制：主要分为webshell和PC木马，webshell是存在于网站应用中的，而PC木马是进入系统进行植入的。目的是对系统进行持久控制。
病毒感染：主要分挖矿病毒、蠕虫病毒、勒索病毒等，对目标文件或目录进行加密，用户需要支付酬金给黑客

• 2.常见分析：计算机账户，端口，进程，网络，启动，服务，任务，文件等安全问题

账户：账户异常、账户增加，看攻击者是否留有后门账户
端口：异常端口开放，看是否与外部地址的某个端口建立了连接
进程：异常进程加载，看是否存在异常进程执行（排除系统正常进程）
网络：网络连接异常，看是否对局域网内其他IP地址进行请求（横向）或自身网络异常
启动：异常程序开机自启动，看是否存在开机自启动的程序，排查是否为恶意程序
服务：异常服务添加、启动，看机器上是否存在异常服务（排除系统正常服务）
任务：异常定时任务执行，看机器上是否存在定时任务
文件：异常文件，看机器上是否存在异常文件，如后门、病毒、木马等

• 3.病毒分析

PCHunter：     http://www.xuetr.com
火绒剑：        https://www.huorong.cn
processhacker：https://processhacker.sourceforge.io/downloads.php
autoruns：     https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns
OTL：          https://www.bleepingcomputer.com/download/otl/
SysInspector： http://download