主机应急响应与电子取证的经验分享

随着主机安全的问题日渐突显，挖矿勒索后门等病毒隐蔽手法越来越多种多样，仅仅依靠传统的安全工具不能完全查杀出相关恶意程序。安全事件具有突发性，复杂性与专业性，基于windows的一些运行机制人工排查安全事件需要从多个方面去检查与清除，抛砖引玉提出以下思路供参考。

恶意程序本身有网络行为，内存必然有其二进制代码，它要么是进程的 DLL /如此模块，通常为了保活，它极可能还有自己的启动项，网络心跳包。

总之，可以归结为如下 4 点要素：流量，内存，进程，启动项再加上外部信息，如威胁情报，就可以形成比较完整的证据链。

定位到可能存在恶意软件的主机后，首先先使用杀毒软件或者 EDR 工具进行全盘扫描查杀一些简单常见热门的病毒一般都被收录在热门的特征库里面，扫描出来就可以以最小的时间成本识别与解决恶意文件。

根据一些杀毒软件的报警就可以标识出恶意软件的类型与名字，如下图

为此一个兰塞姆（勒索）类型的Wannacry（想哭）家族的病毒样本，对于此类情况往往可以直接一键处理较为简单。 

无论是挖矿病毒，僵尸网络，肉鸡， CC 服务器，内网传播等恶意行为都需要与其他主机进行通信，则本地必须调用相应的网站链接。包括本地地址，本地端口，远程地址，远程端口等操作。如果远程地址为一个恶意网站，便可以轻易获取到系统的中毒进程，方便快捷的定位问题。

检查系统的连接情况使用 netstat 命令或者借助一些成熟的工具如PChunter ，TCPViewer 有利于更加直观的查看进程情况。

通过此图可以发现 mssecsvc.exe 对大量随机的外网IP 的445 端口进行SYN 包的探测，这是Wannacry 病毒的传播过程。

对于一些其他的通信过程流量，我们往往需要通过其他方式来识别，这里推荐的Wireshark 的抓包工具进行抓包识别恶意流量，以下为Nmap的的端口扫描的数据包。

病毒文件在系统中运行必定依赖于exe可执行程序，windows当中简单的将程序分成三大类：

1. Windows核心进程  // 如

2.系统进程// svchost.exe(Windows服务主进程) 、lsm.exe(本地回话管理器)

3.用户进程 // qq.exe(腾讯QQ主程序) 、chrom.exe(Google浏览器）

主要有三种模式在系统中运行：

1.病毒自己的exe程序

2. 注入到系统程序

3. 其他方式 

这里可以使用PChunter工具对进程进行查看识别，如下的这个Wmipvrse.exe无厂商签名且名字有点诡异。

常规方式可以通过百度查看一下，或者计算一下程序的Md5数值之后上Virustotal进行进一步确认，通过一些网友的评论与一些威胁情况往往可以判断出一些可疑的文件。

使用工具计算一下文件的hash数值，建议提取Md5格式如下：

D2A4D1247752FB186841FF4C2985341B