关注日志与文件

不仅要重视操作系统的日志，还需关注操作系统上的文件。应当全面排查，避免大意。许多攻击行为可能在日志中无法体现，例如攻击者上传的扫描工具（如fscan），这些工具可能会残留在操作系统中。

分析Linux的历史命令

在Linux系统中，使用history命令可以查看用户的命令执行历史。如果攻击者执行了命令，这对识别攻击者的行为模式至关重要。作为防守方，也需要定期审查~/.bash_history文件，确保不留有敏感信息（如密码、密钥等），并考虑对历史记录进行定期清理。此外，可以使用auditd工具监控命令执行情况，确保每个命令的执行都可追溯。

日志分析

除了操作系统日志，Windows用户还应关注应用系统的日志，例如（如Apache、IIS、SQL Server）等。这些日志能提供更多关于系统行为的信息，有助于识别潜在的安全威胁。

木马病毒扫描

在Windows系统上，可以上传并使用杀毒软件对潜在病毒文件进行扫描。同时，使用D盾等工具扫描Webshell，以检测并清除恶意代码。

思路有序

应急响应过程中，思路应保持清晰，循序渐进地排查问题。深入分析攻击者的攻击思路，从而逐步追踪其活动轨迹，找到攻击源。

录屏

如有必要，可在Windows系统上上传录屏软件，进行全程操作的录屏，以便进行取证。这能为事后分析提供重要证据。

工具

在应急响应中，工具的使用很重要，如进程分析、everything等工具，如果遇到通报给了恶意ip，那么可以针对恶意ip查找对应的应用程序，可能会有一些新的发现。有了ip可以将ip提交到威胁情报平台看看这个ip是否有威胁标签，同时对ip进行whois查询、ip反查域名，看是否有ip注册、域名信息。

时间线

事件发生的时间对于厘清事件脉络至关重要。通过分析时间线，可以更好地还原事件发生的场景，帮助制定有效的应急响应策略。建议使用时间线工具来可视化事件的发生顺序，并与日志记录相结合，以便快速识别关键时间节点和相关事件。