1 基本纪录

　　1.1 到达现场前记录

　　CSIRT在确定需要紧急响应时，简要记录以下内容：

　　记录事件现象描述（包括文字描述、录音与屏幕拷贝）；

　　记录联系人、联系电话；

　　记录现场响应的地点（包括建筑物编号或建筑物别名、房间编号）；

　　首次接报事件的时间；

　　确定需要紧急响应的时间；

　　其他重要的未能枚举的项目；

　　1.2 到达现场后记录

　　CSIRT人员在到达事件现场后，原则上应该先做好必要的记录，但如果事件紧急，例如影响重大的攻击依然在进行，可以暂时放弃纪录优先的原则，但在有关事件的到抑制后，应该迅速补充记录。现场需要纪录的内容比较多，需要仔细留意。

　　1.2.1 记录时间

　　CSIRT工作人员应该记录以下几个重要的时间点：

　　到达现场的时间；

　　确定事件分类及诊断的时间；

　　初步作出处理的时间；

　　处理完毕的时间；

　　其他重要的未能枚举的项目；

　　1.2.2 记录地点

　　CSIRT工作人到达现场的位置，建筑物编号或建筑物别名、房间编号。

　　1.2.3 记录当事人资料

　　记录当事人的简要资料，例如：姓名、职工号、学号，核对联系方式，建议记录当事人一下三种联系方式：固定电话、移动电话及常用电子邮件地址。

　　1.2.4 记录机器的用途和特性

　　CSIRT工作人应该记录计算机的用途、型号配置，及有无其他特殊配置（例如：有无还原卡等）

　　2 收集并详细被入侵计算机资料

　　2.1 档案编号

　　CSIRT的档案编号应采取一下格式：SYSU-CSIRT-YYYYMMDD-HHMM YYYYMMDD为到达现场处理的日期

　　HHMM为到达现场开始处理的时间，例如：SYSU-CSIRT-20070910-1023

　　2.2 收集被入侵计算机详细资料

　　可以使用预先编写的脚本去收集有关的资料，但在某些情况下，使用手工进行收集是最为可靠的，但效率比较低。但无论如何，CSIRT的工作人员必须掌握手工收集入侵计算机详细资料的方法。

　　2.3 记录时使用目录及文件名约定

　　在受入侵的计算机的D盘根目录下（D:\）（如果无D盘则在C盘根目录下）建立一个CSIRT（全大写字母）目录，目录中包含一下子目录：

　　artifact 用于存放可疑文件样本

　　cmdoutput 用于记录命令行输出结果

　　screenshot 用于存放屏幕拷贝文件

　　log 用于存放各类日志文件

　　2.4 文件格式

　　命令行输出文件缺省仅使用TXT格式。

　　日志文件及格式应该尽量使用TXT、CSV和其他不需要特殊工具就可以阅读的格式。

　　屏幕拷贝文件应该使用BMP格式。

　　2.5 收集操作系统基本信息

　　进入CMD状态，“开始 > 运行 > cmd”，进入D盘根目录下的CSIRT目录，执行一下命令：

　　netstat -nao > netstat.txt

　　tasklist > tasklist.txt

　　ipconfig /all > ipconfig.txt

　　ver > ver.txt

　　2.6 收集操作系统详细信息

　　进入控制面板，将“控制面板 > 系统”将“常规”、“自动更新”、“远程”3个选卡各制作一个窗口拷贝（使用Alt+PrtScr）。并保存到CSIRT\screenshot目录下，文件名称应该使用system-normal-01、system-autoupdate-01、system-remote-01等形式命名。

　　2.7 收集事件察看器信息

　　进入管理工具，将“管理工具 > 事件察看器”中，导出所有事件，分别使用一下文件名保存： application.txt、security.txt、system.txt。如果没有时间信息，则使用一个README.txt进行记录系统无事件信息。

　　2.8 防火墙检查

　　使用什么防火墙(系统自带还是第三方的)；

　　防火墙设置或功能是否有效；

　　将防火墙的窗口拷备保存到CSIRT\screenshot目录中，文件名采取firewall-01、

　　firewall-02形式命名；

　　2.9 防病毒软件

　　检查防病毒软件是否有效及被启用；

　　检查防病毒软件及版本，并做窗口拷贝，并保存到CSIRT\screenshot目录下，文件名采取：防病毒软件名-01、 防病毒软件名-02的形式；

　　防病毒软件病毒定义版本及更新日期的窗口拷贝；

　　导出防病毒日志threat等到CSIRT\log目录中；

　　2.10 提取残留物

　　查找netstat -nao及tasklist中可疑的端口和进程，并找出对应的执行文件或DLL；

　　如果系统中找不到tasklist，可以使用 CSIRT常用工具中的tlist查找进程，也可以使用ProcessExplorer去了解进程的详细信息；

　　将残留物及怀疑的恶意代码存放在CSIRT\artifact目录下，子目录根据情况进行取名，另外在在CMD下，使用命令：dir 可疑文件名 > 可疑文件名.txt，并将上述文件保存到CSIRT\artifact目录下的相应子目录中；

　　残留物及怀疑的恶意代码文件有可能被设置成隐含文件，可以使用attrib *去查核；

　　如果文件设置为隐含或系统属性有可能不能被拷贝，可以使用attrib命令重新设置文件属性再拷贝。如果系统安装有WinRAR的话，可以使用WinRAR查找到隐含文件并打包。

　　残留物可打包成ZIP文件并加密码virus，请不要打包成RAR文件，RAR文件需要额外安装软件（注意，WinRAR可以将文件打包成ZIP的）；

　　残留物及怀疑恶意代码现场分析可使用 http://www.virustotal.com/；

　　2.11 系统帐号检查

　　检查Administrator帐号密码强度；

　　检查Guest帐号密码是否禁用；

　　检查其他帐号的密码强度；

　　3 系统修补及恢复初步建议

　　可以根据检查的结果，进行初步的判断，并作出系统修复及恢复的初步建议，如果系统需要进一步检查，应该提出封存计算机的请求。

　　4 CSIRT工具

　　4.1 CSIRT现场响应的计算机

　　CSIRT现场响应使用的笔记本，应该选用以下操作系统：

　　MacOS X

　　Linux

　　FreeBSD

　　Windows操作系统可以安装在虚拟机上，虚拟机可以使用VMware的免费版本。MacOSX可以使用VMware Fusion，MacOS X上的Parallels Desktop在中文显示上会有问题。

　　4.2 残留物收集使用的U盘

　　残留物收集使用的U盘应该使用带保护装置的。

　　4.3 CSIRT常用工具（“验尸官”工具）

　　CSIRT人员应尽量使用简单的免安装的小工具，除Windows操作系统的tasklist、netstat、ping、pingpath之外，还可以使用独立的免安装小工具。有关工具应事先准备好，放置在CD-RW中或有写保护功能的U盘中：

　　FPort v2.0 — TCP/IP Process to Port Mapper

　　TLIST — Print Task List or Task Tree

　　ProcessExplorer — Process Explorer shows you information about which handles and

　　DLLs processes have opened or loaded.

　　HijackThis v2.0.2 — Trend Micro HijackThis, to find settings that may have been

　　changed by spyware, malware...

　　MD5summer v1.2.0.11 — Windows MD5sum generator

　　MD5sum — DOS Command line MD5sum utility

　　4.4 CSIRT常用在线工具

　　4.4.1 Online Scanner

　　VirusTotal http://www.virustotal.com/

　　VirSCAN.org http://virscan.org/ 哈尔滨工业大学提供

　　Virus.org http://scanner.virus.org/

　　Jotti's malware scan http://virusscan.jotti.org/

　　4.4.2 Process Library

　　注意：Process Library数据库站点目前并不完善，暂时没有比较权威的站点。

　　进程信息库 http://www.processlib.net/

　　系统进程宝典 http://process.8s8s.com/

　　tasklist.org http://www.tasklist.org/

　　Process ID http://www.processid.com/

　　WinTasks Process Library

　　http://www.liutilities.com/products/wintaskspro/processlibrary/

　　http://www.liutilities.com/products/wintaskspro/dlllibrary/system/

　　4.4.3 DLL Library

　　注意：DLL Library数据库站点目前并不完善，暂时没有比较权威的站点。

　　Windows DLL Archive http://www.windll.com/

　　DLL库 http://www.knowsky.com/process/dlllibrary.htm

　　DLL Files http://www.softwaretipsandtricks.com/dll/