Windows应急

询问攻击情况范围

事件发生时的状况或安全设备告警等，能帮助应急处置人员快速分析确定事件类型，方便前期准备。

通用排查思路

入侵肯定会留下痕迹，另外重点强调的是不要一上来就各种查查查，问清楚谁在什么时间发现的主机异常情况，异常的现象是什么，受害用户做了什么样的紧急处理。问清楚主机异常情况后，需要动脑考虑为什么会产生某种异常，从现象反推可能的入侵思路，再考虑会在 Windows 主机上可能留下的痕迹，最后才是排除各种可能，确定入侵的过程。

分析入侵路径、入侵时间线：结合各类日志以及恶意代码本身，将有关证据进行关联分析，构造证据链，重现攻击过程。

分析恶意代码：找到恶意程序的特征，包括行为、释放的文件、网络通信等，从而得到识别、防御和删除该病毒的方法，使得我们的其他机器能够防得住该恶意程序的攻击。

准备工作

在正式实施应急响应之前，需要先进行以下工作，

第一、信息收集，先对安全事件进行详细的了解，包括系统、服务以及业务类型

第二、思路梳理，通过以上信息收集初步梳理自己的分析思路

第三、工具准备，提前准备好需要用到的工具脚本等资料

第四、数据备份，所有涉及到分析以及证据的材料都需要提前进行备份，这样也方便之后还有分析人员或者防止数据被篡改或者覆盖。

第五、时间校准，查看系统时间和北京时间是否同步准确，如果不准确那么系统日志等信息的事件可能会存在误差，