每日一题面试解说，每日一道经典面试40题

本内容由系统网小编为大家分享，Windows系统安装教程、办公系统、软件怎么使用、软件使用教程、办公软件攻略等信息。

紧急反应的基本思维过程

资料收集:收集客户资料及毒性主机资料,包括样品 判断类型:判断是否存在安全事件,什么类型的安全事件,盗窃,采矿,窃听,多斯等。 限制范围:隔离防止受影响地区继续扩散(保持良好的隔离) 深入分析: 日志分析 、 过程分析 、 开始项目分析 、 抽样分析 清理和清理: 删除程序, 删除文件, 补丁, 删除异常系统服务, 清除后门帐户以防止事件扩展, 并恢复生产后处理 输出报告:组织和输出完整的安全事故报告

Windows入侵检测思维

企业遭受黑客攻击、系统崩溃或其他影响正常业务的安全事件时,迫切需要尽早处理,尽快恢复企业网络信息系统正常工作,进一步 调查 入侵 的 来源,还原入侵事故过程，同时提供解决方案和预防措施,恢复或减少企业经济损失。

一般紧急反应事件分类:

网络入侵:网络安装,网页操作,网络壳

系统入侵:病毒,特洛伊,远程控制后门

网络攻击:DDOS攻击,DNS黑客,ARP欺诈

入侵排查思路

检查系统账号安全

1.检查服务器是否有弱端口,以及远程管理端口是否开放到公共网络。

检查方法: 根据实际情况,咨询相关服务器管理员。

2.检查服务器是否有疑虑帐户,并添加帐户。

检查方法:打开cmd窗口并输入lusrmgr.msc要查看是否有新的/怀疑帐户,如果管理员组有新的帐户,如果有,请立即关闭或删除。

3.检查服务器是否有隐藏帐户或克隆帐户。

检查方法：

a.打开注册表并查看管理员的相应的关键值。

使用D Shield_web检测工具,集成了克隆帐户检测的功能。将日志合并以查看管理员登录时间和用户名是否异常.

检查方法：

a,Win+R打开运行,输入“eventvwr.msc”,回到车上,打开事件查看器。

b.出口Windows日志-安全,使用微软的官方日志分析工具进行分析。

检查异常端口进程

1.检查端口连接状态,是否存在远程连接或怀疑的连接。

检查方法：

a、使用netstat -ano查看当前网络连接并定位怀疑的ESTABLISHED

b,按netstat命令定位的PID代码,然后由任务列表命令定位的过程tasklist | findstr "PID"

2、进程

检查方法：

启动-运行-输入msinfo32在命令中,单击“软件环境-运行任务”查看进程的详细信息,如进程路径、进程ID、文件创建日期和启动时间等。

b.打开D Shield_web检测工具,查看没有签名信息的进程。

c.通过微软的官方进程浏览器等工具搜索。

d.观察可疑过程及其子过程。

未经签名验证的程序没有描述信息的进程进程的属主进程的路径是否合法CPU或内存资源占用过长进程

3、小技巧：

a.查看相应的端口PID:netstat -ano | findstr "port"

b,查看进程的相应的PID: Task Manager - View - Select column - PID 或tasklist | findstr "PID"

c.查看过程的相应程序位置:

任务管理员 – 选择相应的过程 – 右击打开文件位置

​ 运行输入wmic，cmd 界面输入process

​ d、tasklist /svc程序 – PID – 服务

e.查看相应的Windows服务端口:

%systemroot%/system32/drivers/etc/services(一般来说%systemroot%是C:Windows路径)

1.检查启动项目、计划任务和服务

1.检查服务器有一个异常启动项目。

检查方法：

a、登录服务器，单击【开始】>【所有程序】>【启动】，默认情况下此目录在是一个空目录，确认是否有非业务程序在该目录下。b、单击开始菜单 >【运行】，输入msconfig,查看是否存在一个指定例外的启动项目,然后取消指定例外的启动项目并删除文件到命令中显示的路径。c、单击【开始】>【运行】，输入 regedit，打开注册表，查看开机启动项是否正常，特别注意如下三个注册表项：

在右边检查启动中是否有异常,如果没有,删除它们,并建议安装防病毒软件以扫描病毒和清除病毒或蠕虫的残余。

使用安全软件查看启动项目、启动时间管理等。

e、组策略，运行gpedit.msc

2、检查计划任务

检查方法：

a、单击【开始】>【设置】>【控制面板】>【任务计划】，查看计划任务属性，便可以发现木马文件的路径。

b、单击【开始】>【运行】；输入cmd，然后输入at检查网络上的计算机与其他计算机之间的连接,或如果有任何任务,确定连接正常。

3、服务自启动

检查方法：单击【开始】>【运行】，输入services.msc注意服务状态和启动类型,以检查是否有异常服务。

1.4检查系统相关信息

1.查看系统版本和补丁信息

检查方法：单击【开始】>【运行】，输入systeminfo，查看系统信息。

寻找可疑目录和文件

检查方法：

a,查看用户目录,新帐户将生成在这个目录中的用户目录,以查看是否有新的用户目录。

b、单击【开始】>【运行】，输入%UserProfile%Recent分析最近打开了对可疑文件的分析。

c.在服务器的每个目录中,您可以按照文件列表的时间顺序搜索文件,以寻找怀疑的文件。

d,回收站,浏览器下载目录,浏览器历史记录

e.修改时间是创建时间前一个可疑的文件

3.找到和获取WebShell,远程控制的木头鹰创建时间,如何在同一时间范围内创建的文件?

a.使用注册工作室注册编辑器的搜索功能,您可以找到最后在时间区上写的文件。 b.使用计算机自驱动文件搜索功能指定搜索修改时间。

1.5 自动化查杀

病毒查杀

如何检查:下载安全软件,更新最新的病毒库,并进行全盘扫描。

Webshell kills

检查方法：选择具体站点路径进行Webshell kills，建议使用两款 WebShell 查杀工具同时查杀，可相互补充规则库的不足。

1.6 日志分析

系统日志

分析方法：

如系统故障或未来发生安全事故,您可以查看系统日志文件,消除故障,跟踪入侵者的信息等。

打开运行,输入“eventvwr.msc”,运行车后,打开“Event Viewer”。

导入应用日志 、 安全日志 、 系统日志, 并使用日志分析器进行分析.

Web 访问日志

分析方法：

找到中间人的网络日志,并将其本地包装进行分析。

b,推荐工具:在Windows上,推荐使用EmEditor进行日志分析,支持大文本,搜索效率良好。

0x02 工具篇

2.1 病毒分析

PCHunter：http://www.xuetr.com

火焰剑: https://ww.huorong.cn

Process Explorer：https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer

processhacker：https://processhacker.sourceforge.io/downloads.php

autoruns：https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns

OTL：https://www.bleepingcomputer.com/download/otl/

SysInspector：http://download.eset.com.cn/download/detail/?product=sysinspector

2.2 病毒查杀

Kabarski: http://devbuilds.Kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT (建议:绿色版本,最新的病毒库)

Big Spider: http://free.Drweb.ru/download+cureit+free (建议:快速扫描,一次下载仅需1周,更新病毒库)

手套安全软件: https://ww.huorong.cn

360杀毒药: http://sd.360.cn/download_center.html

2.3 病毒动态

国家电脑病毒紧急反应中心: http://ww.cverc.org.cn

Microstep Online Threat Intelligence Community: https://x.threatbook.cn

燃油安全论坛: http://bbs.huorong.Cn/forum-59-1.html

药物滥用社区: http://bbs.Duba.net

电脑管理员: http://bbs.guanjia.qq.com/forum-2-1.html

2.4网上病毒扫描网站

Virustotal：https://www.virustotal.com

Virscan：http://www.virscan.org

Tencent Hub分析系统: https://habo.qq.com

Jotti恶意软件扫描系统: https://virusscan.Jotti.org

2.5 Webshell kills

D Shield_Web搜索: http://ww.d99net.net/index.asp

WebShell: http://ww.webshell.comShellpub.com

XTw.com.Cn系统网专业应用软件下载教程，免费windows10系统,win11,办公软件,OA办公系统,OA软件,办公自动化软件,开源系统,移动办公软件等信息，解决一体化的办公方案。