【每日一记】

在攻防演练保障期间，一线工程师在实施主机入侵痕迹排查服务时可能面临时间紧、任务急、需要排查的主机数量众多情况。为了确保实施人员在有限的时间范围内，可以高效且保证质量的前提下完成主机入侵痕迹排查工作，本人总结了自己的一些经验，下面的内容特此分享主机入侵痕迹排查服务中重点、关键的排查项，仅作为参考使用。

1.1初步筛选排查资产

首先，在排查前，作为项目经理，应该与客户沟通好，取得授权，确认排查范围和排查方案和办法，客户若是没有授意或者同意，那么下面的操作都是违规操作，甚至有的还违法。

取得客户同意后，我们再从资产面临的风险等级、资产的重要程度、攻击者的攻击思路、手法及目标选择倾向几个方面去初步筛选出排查资产。

1.2确定排查资产

主机入侵痕迹排查工作建议在一周内对数量控制在20台以内的主机进行排查。经过初步筛选的资产数量如果远远大于20台主机，需要从资产里面进行二次筛选，如果存在曾失陷资产，排查主机范围可以定为曾失陷资产；如果不存在曾失陷资产，排查主机范围可以定为脆弱资产，具体可以根据客户自身实际情况调整。

1.3入侵痕迹排查

在实际情况下，攻击者在进行攻击时使用的攻击手法、攻击思路、行为等各有差异，无论是考虑实现成本还是效率问题，都难以通过很精细很全面的排查项去实施主机入侵痕迹排查，但是我们可以从攻击中可能会产生的一些比较共性的行为特征、关键的项进行排查。对于主机的入侵痕迹排查，主要从网络连接、进程信息、后门账号、计划任务、登录日志、自启动项、文件等方面进行排查。

排查内容

攻击者一般使用 attrib <程序> +s +h 命令隐藏恶意程序，故在排查痕迹前需打开“工具--文件夹选项--查看”。按照下图中的设置，即可显示所有文件。

检查网络连接：在CMD中执行 netstat -ano 查看目前的网络连接。

这种情况一般都比较正常，只有80和443端口，一般都是正常业务开放端口。

主机和外网IP已经建立连接（ESTABLISHED状态）或者尝试建立连接（SYN_SENT状态），可以先查询IP所属地，如果IP为国外IP或者归属各种云厂商，则需要重点关注。进一步可以通过威胁情报

检查默认下载路径

用户最近文件%UserProfile%\Recent，如Administrator对应的目录为C:\Users\Administrator\Recent

感谢分享