Windows应急响应

1、应急响应

异常特征

主机安全:
	cpu满负载
	服务器莫名重启

网站安全:
	被植入暗链
	出现webshell
	网页文件备篡改

流量安全:
	网络阻塞
	网络异常

数据安全:
	泄露
	篡改

文件安全:
	丢失
	异常

设备告警:
	防火墙
	杀毒软件
	感知平台
	检测系统
	...

处置流程

准备阶段：
	获取事件信息
	准备设备工具

保护阶段：
	断网
	备份
	数据恢复
	物理隔离

检测阶段：
	技术分析

取证阶段：
	确定攻击事件
	确定攻击时间
	确定攻击过程
	确定攻击对象

处置阶段：
	提出安全问题
	提出解决方案
	业务恢复

总结阶段：
	完整事件报告编写

问题排查

系统：
	1、Windows
		1、远控后面
			查看进程
			查看网络
		2、勒索病毒
			表现，文件是否被加密等等
		3、挖矿病毒
			查看进程
			查看网络
		4、爆破攻击
			查看系统日志
		5、DDOS攻击
			网络流量
			CPU爆满



查看Windows系统进行信息工具:
- ProcessExplorer
- 火绒剑
- PCHunter

再查出对应的异常程序，可以上传威胁情报平台分析，当前这是针对程序层面的后面，可以查看到进程这些。
如果是内核级的木马这些不显示进程，重装电脑都无法解决，那就另说

问题排查过程，系统性能、网络排查、后台进程排查、日志排查、流量排查等等全部要检查。