应急响应(病毒入侵排查)

【应急响应】要求如下：在虚拟机内（一定要做好网络隔离，防止病毒逃逸）解压wannacry2.0病毒，管理员运行mssecsvc.exe。在虚拟机内（一定要做好网络隔离，防止病毒逃逸）解压wannacry2.0病毒，管理员运行mssecsvc.exe。在虚拟机内（一定要做好网络隔离，防止病毒逃逸）解压wannacry2.0病毒，管理员运行mssecsvc.exe。小工具介绍PCHunter是一个强大的\t"/qq_45397014/article/details/_blank"Windows系统信息查看软件，也是手工杀毒辅助软件。软件可以查看内核文件、驱动模块、隐藏进程、注册表等等信息，方便系统工程师在运维工作中获取相关数据。 (查文件)ProcessHacker是一款免费、开源、多用途、超级强大的进程查看管理、系统监视和内存编辑工具，支持查看管理进程、服务、线程、模块、句柄以及内存区域数据等。可帮助您监视系统资源，调试软件和检测恶意软件。（查进程异常流量分析）Autoruns是由微软Sysinternals公司出品的一款精品小工具，它能显示Windows启动或登录时自动运行的程序，并允许用户有选择地禁用或删除它们，例如，那些在“启动”文件夹和注册表相关“键”中的程序。此外Autoruns还可以修改包括：Windows资源管理器Shell扩展（如右键弹出菜单）、IE浏览器插件（如工具栏扩展）、系统服务和设备驱动程序、计划任务等多种不同的自启动程序。（查看启动项）使用prcesshack、pchunter、autoruns工具针对于病毒的异常进程、启动项、文件进行查杀，具体步骤如下：可能将要遇到的问题：【pchunter用不了？】/antiwar3/py可以替代pchunter工具包:异常现象分析：1.发先windowsserver存在高量的外发连接行为，占用CPU，内存等状态。(怀疑服务器中了病毒，断网隔离排查)使用ProcessHacker中网络模块功能观察进程连接行为，高量的外发连接行为通过445端口，发起大量的SYN数据包Netstat-ano发现很多syn的异常连接发现是mssecsvc.exe程序发现大量的syn数据包请求，转换到排查进程，服务，定位所在存放的位置2、异常程序分析：根据进程排查到该程序文件存放位置，复制样本上传到微步沙箱检测。发现微步沙箱告警mssecsvc.exe为病毒文件，连接对端的异常境外IP，和衍生程序tasksche.exe，威胁情报查询未知IP地址和恶意病毒程序。3、异常文件分析：排查衍生程序tasksche.exe存放在本地C:\windows下，该进程未启动，且没有开机自启动。上传微步沙箱检测为恶意程序（可以直接删除）该进程没有运行，直接清理掉。4、排查异常启动项和计划任务：Autoruns工具Win+r输入msfconfig排查开机启动项5、处置：1、排查是否存在开机启动项2、删除掉mssecsvc.exe文件并终止进程树。删除tasksche.exe程序3、重要:排查清理mssecsvc.exe存在计划任务4、重要:删除mss