1.exe上线-可能比较困难
2.白加黑
windows应急响应
看外联
netstat -ano 提取ip
配合威胁情报
看是否是恶意ip,根据pid找对应进程和恶意文件
火绒剑 pchunter 任务管理器等应急
查看定时任务,启动项,服务,注册表,用户,映像劫持等
日志分析
1.edr-大量的内网扫描高级 --防守怎么应急
扫描源头,dmz 个人pc钓鱼
dmz--》web为主webshe11 --》隧道 横向
2.域控被打穿排查哪些
加固:krbtgt DC等的账号hash 钻石和蓝宝石 acl 策略改写 域控伪造 ssp注入 高权限的域 用户委派
bypassuac -》注册表
3.192.168.1.2--》192.168.3.4主机cs上线--真实的怎么应急
内网多网卡机器通--》web直接能访问
不通--》多网卡192.168.1.7&192.168.3.9