本文共 656 字，大约阅读时间需要 2 分钟。

1.检查思路

病毒查杀、流量分析、进程分析、自启动项、内存取证	威胁情报：微步在线、360网络安全研究、ISC SANS威胁检测

2.病毒查杀

使用杀毒软件或者 EDR 工具进行全盘扫描查杀	工具：EDR、TBScaner、360杀毒、电脑管家、sophos、mcafee、commodo

3.流量分析

挖矿病毒，僵尸网络，肉鸡， CC 服务器，内网传播等恶意行为都需要与其他主机进行通信	 工具：netstat 命令或者借助一些成熟的工具如PChunter ，TCPViewer

4进程分析

4.1windows进程

1. Windows核心进程  // 如explorer.exe（资源管理器）、winlogon.exe（用户登录）		2.系统进程// svchost.exe(Windows服务主进程) 、lsm.exe(本地回话管理器)		3.用户进程 // qq.exe(腾讯QQ主程序) 、chrom.exe(Google浏览器）

4.2进程模式

1.病毒自己的exe程序		2. 注入到系统程序		3. 其他方式

4.3工具

virustotal、PowerTool、Procmon、comodoCCE、火绒剑

5.自启动项

病毒为了实现保活，不可避免会添加或修改启动项、服务项，因此启动项也是非常重要的入手调查点	工具：autoruns、PEtools、PowerTool

6.内存观察

恶意程序运行在windows系统当中必然会加载到系统内存当中	工具：IDA、PowerTool

转载地址：http://cmnhf.baihongyu.com/