写这篇帖子源于带过的实习生和打ctf认识的高校朋友，想给刚入门安全或入门病毒、安服朋友们分享点内容，希望有所帮助。

     因为人员不多应急服务理应都在这边来做，后面随着产品推进与客户量上升，多次磨合后基于Web开发了一套半自动化应急响应平台，后期如果引擎比较完善，对接威胁数据准确，基本实现相对的自动化服务流程，这东西不是产品，只是为了内部工作与产出积累才诞生的。

     假设客户种了勒索、挖矿。日常手法，简单了解网络top，pc内存转储同时隔离节点。拖工具pchunter、procexp等，从日志、最近改动文件、进程、自启动、网络端口初步探测。通过时间节点脑补整个感染过程，dump内存与提取样本，简单IDA分析找URL或环境变量路径，分析脚本提取关键数据。公司一般都有自己的一套常见的专杀工具，针对病毒进行扫、匹配、清理、加固。做了这些事之后上msf或cs来做渗透检测，专业点的在做一下内网横向检测，找一些poc复测，通过跳板顺藤摸瓜排查，针对活跃的回连ip进行溯源，端口进行探测与反弹shell，分析样本，最终综合产出各类报告。

    很多东西还得给客户解释清楚，搞安全不能以暴治暴，不能被D了入侵了，你找到回连，上去就是一顿2&C+D，而且都是IDC跳板没有啥用的。

    工具初版是C写的，只是为了辅助快速工作，第一个版本成型，只有采集模块，数据采集上来后，用sql来看其实程序里面写了规则链，关联检测，其实我感觉sql高效，在部分实战中也很有成效。内网环境下，采集后生成xx.docx文档，传递过来就可以分析了， 可以远程支撑不用跑来跑去， 原框架如下：

    采集模块：系统信息采集（systeminfo）这是程序里面唯一调用的_popen指令实现的，因为一开始图方便，后面考虑兼容win7~win10，如计划任务检测，task se api全是用的2.0，抛弃了win api 1.0的的接口。

    上述采集其实都不难，如果你用心两天开发量估计都不到，一天就可以搞定。要思考的数据提取后如何站在应急的角度去利用，找到线索。写很多条规则，如自启动 --> 进程 ---> 端口 --> 文件，排查一条线索，也可以是进程 --> 端口 --> 自启动 --> 文件 --> 注册表，这里数据还没有涉及日志分析，你可以根据这些链做多条匹配。

    当你要脚本做成工具的时候，linux就跑python就好了，虽然我感觉go更好...... 很少有人写个QT，一键检测跑到Censtos上。但是win下特别是政府之类的，可以用图形库写个界面，当时我给否决了，Web做到炫酷就够了，mfc写个交互其实已经够用，每一个环节，最终闭环都呈现在Web，基于原来有平台更合适，初版信息采集工具诞生了，当然你要带上界面引导与良好的交互可以是文档，下面把图标之类的都替换了：

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！