HW 蓝队面试题整理（hw防守方面试题整理）

一、应急响应A. 宏观题1.基本思路流程收集信息：收集客户信息和中毒主机信息，包括样本判断类型：判断是否是安全事件，何种安全事件，勒索、挖矿、断网、DoS 等等抑制范围：隔离使受害⾯不继续扩⼤深入分析：日志分析、进程分析、启动项分析、样本分析方便后期溯源清理处置：杀掉进程，删除文件，打补丁，删除异常系统服务，清除后门账号防止事件扩大，处理完毕后恢复生产产出报告：整理并输出完整的安全事件报告2.Windows入侵排查思路检查系统账号安全查看服务器是否有弱口令，远程管理端口是否对公网开放（使用netstat -ano 命令、或者问服务器管理员）lusrmgr.msc 命令查看服务器是否存在可疑账号、新增账号，如有管理员群组的（Administrators）里的新增账户，如有，请立即禁用或删除掉用 D 盾或者注册表中查看服务器是否存在隐藏账号 ………………………………