HW 蓝队面试题整理（hw防守方面试题整理）

文章预览

一、应急响应 A. 宏观题 1.基本思路流程 收集信息：收集客户信息和中毒主机信息，包括样本 判断类型：判断是否是安全事件，何种安全事件，勒索、挖矿、断网、DoS 等等 抑制范围：隔离使受害⾯不继续扩⼤ 深入分析：日志分析、进程分析、启动项分析、样本分析方便后期溯源 清理处置：杀掉进程，删除文件，打补丁，删除异常系统服务，清除后门账号防止事件扩大，处理完毕后恢复生产 产出报告：整理并输出完整的安全事件报告 2.Windows入侵排查思路 检查系统账号安全 查看服务器是否有弱口令，远程管理端口是否对公网开放（使用netstat -ano 命令、或者问服务器管理员） lusrmgr.msc 命令查看服务器是否存在可疑账号、新增账号，如有管理员群组的（Administrators）里的新增账户，如有，请立即禁用或删除掉 用 D 盾或者注册表中查看服务器是否存在 ………………………………