上线方式

卡巴斯基，如果使用原生cs，可能比较难过，如果使用二开，如内存加密，堆栈混淆，过免费版没问题
1.exe上线 –> 360环境比较困难
2.白加黑

假如上线后第一条命令是shell whoami，可能会直接死掉
比较好的方式是走-beacon，从内部执行一些命令

查杀上线后的exe或者白加黑的方式
常见方式是netstat -ano 看外联，然后提取ip，通过威胁情报api调用查看是否为恶意ip，然后看pid查找对应恶意文件

工具:
tcpview, —>查找恶意文件
360如果开了晶核，使用ppid欺骗是不行的，最好使用白加黑的方式，如反向隧道，dumplsass

维权：
添加用户，在360环境下，使用windowsapi重写bof，或者改注册表，在360环境下需要使用未公开的白

计划任务：
PRC –>不会被拦截 dll劫持，白加黑上线 或者白exe本身就有计划任务

启动项：
通过火绒查看启动项，可查看对应启动项的白加黑
使用windowsapi去写，使用白加黑方式
windows rootkit –>驱动

进程链
360查调用链看的比较紧
explore.exe –>cmd.exe –>whoami.exe
explore.exe –>cmd.exe –>白.exe 恶意 360会杀死进程
explore.exe –>白.exe

面试中可能会遇到的
1.edr大量的内网告警，作为蓝方如何应急
扫描源头，是从dmz，还是个人pc钓鱼打进来的，
dmz –>web为主，查找webshell查杀，查找隧道 横向
2.域控被打穿，排查哪些内容
加固：krbtgt的账号hash，acl策略改写，域控伪造（黄金票据，钻石和蓝宝石），ssp注入，高权限的域用户
委派：
3.192.168.1.2 –>192.168.3.4 主机cs上线，真实环境如何应急
内网多网卡机器，先看3.4的机器通不通，通–>web直接能访问 不通–>多网卡机器，从1.0网段隧道到3.0网段