Windows系統的應急響應主要關注在發生安全事件或攻擊后，如何迅速采取措施恢復系統的正常運行并確保數據的安全性。應急響應的目標是減少系統受到攻擊的損害、恢復操作以及防止類似事件的再次發生。

應急響應分類

應用層：數據篡改、掛馬、webshell
主機層：挖礦、勒索、對外DDOS
網絡層：DDOS、CC、劫持
數據層：數據庫敏感信息泄露、源碼泄露

目的

應急響應的目標主要是為了阻斷黑客攻擊，對整個安全事件發生的過程進行還原，找到問題發生的根源，并采取對應的補救措施，避免類似的事件再次發生

1. 判斷這次應急是否是被成功入侵的安全事件
2. 阻斷黑客攻擊
3. 找出攻擊者第一入口點，提取惡意樣本
4. 幫助客戶梳理攻擊者的攻擊路線，提供漏洞修補方案

流程

1. 事件判斷：判斷是否是安全事件，是何種類型安全事件
2. 臨時處置：給出客戶臨時處置建議，降低受害面，業務可以斷網就進行斷網隔離
3. 信息收集分析：收集客戶具體操作信息和中毒主機信息，包括樣本、樣本分析、進程分析、啟動項分析、日志分析等
4. 清理處置：直接殺掉進程，刪除文件，打補丁或者修復文件
5. 產出報告：整理并輸出完整的安全報告

具體處理流程

1. 查看用戶和組
   net user：查看用戶 net localgroup 查看組
   隱藏用戶：注冊表（regedit LOCAL_MACHINE——SAM）\計算機管理——本地用戶和組，對比net user結果，查看是否有隱藏用戶，看隱藏用戶是否是自己創建，要刪除模式用戶和隱藏用戶 D盾工具可以查看管理克隆用戶（哪些工具可以管理用戶？）
2. 查看端口
   netstat -ano 查看端口狀態，檢查端口是否存在異常外聯行為，對于監聽（listen）和建立鏈接（Established）的端口進行重點排查，檢查易受攻擊的端口是否處于開啟狀態 如：3389 RDP遠程桌面協議3306 MySQL數據庫
3. 查看進程
   tasklist查看進程或者任務管理器查看進程，查看是否存在陌生進程，是否有cpu占用率較高的進程，使用taskkill終止異常進程。Process Explorer 進程分析工具分析系統進程（惡意程序）
4. 排查服務
   services.msc\計算機管理-服務和應用程序 查看自啟服務，易于遭受攻擊的服務是否處于開啟狀態如talnet，RDP，對于危險的服務進行禁用（哪些工具可以管理服務和端口？）
5. 查看惡意文件
   查看有沒有惡意文件， C:\windows\temp查看有沒有異常的臨時文件，查詢有無修改時間在創建時間之前的文件，D盾，火絨也可以檢查有無惡意文件（哪些工具可以管理文件）（webshell？）
6. 排查啟動項
   msconfig 系統配置-啟動，管理啟動項 開機自啟項，查看是否有一些陌生開機自啟項內容，禁用或刪除異常啟動項。Autoruns 啟動項分析工具分析啟動項（開機啟動項）
7. 排查計劃任務
   計算機管理——系統工具——任務計劃程序\schtasks 或 at（老版本） 查看是否有陌生的計劃任務，查看計劃任務觸發時間、觸發位置，有無指向陌生腳本或程序的路徑，要找到并刪除該腳本或程序 PChunter
8. 日志查看
   eventvwr.msc打開事件查看器 在windows日志中，查看安全日志、系統日志、應用程序日志
   安全日志是系統安全相關的事件，如登錄嘗試、用戶賬戶的創建或刪除、權限修改、訪問控制等。系統日志記錄與Windows操作系統和硬件組件相關的事件，如操作系統的服務或組件出現的問題，驅動程序加載或錯誤事件。應用程序日志記錄與安裝在Windows操作系統上的應用程序相關的事件，如應用程序的錯誤或警告（apache日志文件，apache logs\error.log錯誤日志 access.log訪問日志）。安全日志中需要注意查看登錄事件4624登錄成功、4625登錄失敗，用戶管理事件4720創建用戶、4738修改用戶，文件訪問和操作4663：文件或目錄訪問，遠程訪問和命令執行事件4648：遠程登錄嘗試，異常用戶行為5376：Windows防火墻警告（異常訪問） 也可以使用360星圖查看日志
9. 查看系統配置
   systeminfo 顯示系統的詳細配置信息，查看補丁修補情況，有無遺漏補丁需要加固，防火墻是否開啟