干货 | 基于被钓鱼主机的快速应急响应

文章预览

前言 对于linux而言，除了rootkit，大部分的后门均可以使用工具快速排查，但是对于被钓鱼的终端，我们却很难进行有效排查，因此写这篇文章分享一下自己对于windows操作系统应急响应的一些看法和心得。 首先说钓鱼，钓鱼无异于是进入内网最便捷有效的一种方式。 一般来说，一个合格的木马是具备权限维持的一些功能,即添加计划任务或者自启动等等，这也为我们的应急响应增添了不少的难度。 实验木马： cs的免杀马+添加自启动 我们运行改exe程序-->弹框 同时cs上线 接下来我们假装什么都不知道，对该电脑进行应急响应。 任务资源管理器 我们先说传统的一些套路，通过任务资源管理器查看。 可以看到，在我们不进行操作的情况下，我们的恶意exe文件在任务资源管理器中几乎是难以发觉的。 这里我仔细翻找了一下 。 但是想要在上百台机器中去 ………………………………