（目前經驗較少，基本都是與windows相關，寫的也比較亂。之後慢慢補充）

• 勒索病毒事件排查順序

勒索病毒處置時，先確定檔案最早加密時間點（everything），再去基於這個時間點分析日誌行為和可疑檔案。

• 定位呼叫dll檔案的程序

有時候在使用edr查殺到惡意的動態連結庫檔案，刪除時顯示檔案被佔用。此時需要查詢哪些程式在呼叫它，方法：

<1>使用taskllist /m xxx.dll命令；

<2>工作管理員-效能-開啟資源監視器-CPU處可以搜尋關聯控制代碼；

<3>使用工具搜尋，例如ProcessHacker工具Find Handles or dll功能。

• Idle程序外連

Idle為系統空閒程序，當其他程式連線過外部網路，而又將該程式主動結束了，則連線的相關資訊會被快取在該空閒程序當中。

• 態勢感知等安全裝置顯示系統外連惡意域名處置思路

使用記憶體檢索工具（MemScanner/Sangfor EDR）檢索是哪個程序ID在外連，從而進行處置。

有時候存在注入進dll的情況，可以使用工具定位具體dll檔案

例如：ProcessHacker工具

• 如何快速處置惡意外連事件

修改系統hosts檔案，讓已知惡意域名指向不存在/正常IP。

• 常見的病毒型別及簡稱

• 隱藏模組

隱藏模組往往也是動態庫模組，但它肉眼觀察不到（Windows系統工具看不到，PCHunter等工具也看不到），是很隱蔽的一種手段，屬於難查難殺的型別。

例如，在某客戶主機上，我們懷疑svchost.exe程序有問題（程序有問題並不代表程序對應的檔案有問題，這一點一定要區分好），但我們使用系統工具和PCHunter等等工具均檢視不到任何異常模組。至此，懷疑有隱藏模組，祭出特殊工具dump出該svchost.exe的所有模組空間（按模組分割成獨立檔案），觀察到有隱藏的模組：

svchost_exe_PID384_hiddenmodule_2560000_x86.exe就是隱藏在svchost.exe程序中的模組

注：此特殊工具會將隱藏模組檔名加上“hiddenmodule”字眼

可使用微軟的procdump工具

pd64.exx -pid [PID]

• 如何快速定位最早加密檔案

Everything無法執行，或是工具無法拷入的情況，該如何快速定位最早的加密檔案 ？

考慮的是可以利用bat指令碼實現，目前找到了類似功能的指令碼：按從近到遠的順序進行排序，取前十。與我的意願還差一些，後續著手修改。

@echo off
setlocal enabledelayedexpansion
set count = 0
dir /a-d /o-d /s |sort /r >>TmpSort.txt
For /f "delims=" %%i in (TmpSort.txt) DO (
set /a count += 1
if !count! GTR 2 if !count! LEQ 12 echo %%i
)
echo y |del TmpSort.txt
pause