之前写的，靶机已经没了，这里发出来对原来的报告进行修改思路1、检测与识别：通过监控系统资源、IDS、工具（ClamAV）检测等方式来发现和识别挖矿病毒威胁2、隔离：将可疑系统从网络中隔离，防止扩散，停止可疑的进程3、清除与恢复：排查可疑账号、排查启动项、别名、hosts（有些病毒会改）、计划任务、进程、自启动服务4、加固防范：根据攻击者的行为，对攻击者的攻击路线进行分析从而加固薄弱的点，并根...

感谢知攻善防实验室提供的靶机😊😊😊应急响应1.使用D盾排查隐藏用户，发现存在隐藏用户2.对web目录进行排查，检测到webshell3.使用autoruns，对计划任务进行排查，找到可疑的计划任务排查日志，找到攻击者的ip 192.168.75.129根据计划任务锁定可疑文件位置将文件放入微步云沙箱中检测，检测到后门用文本打开可以看到这是一个在web目录下生成webshell的bat脚本文件...

实习了快两个月，好久没更了，后面会恢复更新😋靶场下载地址：https://pan.quark.cn/s/4b6dffd0c51a环境准备攻击机：win10（192.168.187.112）靶机：win10（192.168.187.35）靶场描述：​ 攻击者通过弱口令进入网站后台，利用nday，成功上传冰蝎的木马，创建隐藏用户进行权限维持，利用3389上传并运行挖矿程序。应急响应一． ...