应急响应红蓝工程师白帽子取证Linux和windows入侵排查还原攻击痕迹，追溯攻击者，以及各种木马和病毒以及恶意脚本文件排查和清除

应急响应红蓝工程师白帽子取证Linux入侵排查还原攻击痕迹，追溯攻击者，以及各种木马和病毒以及恶意脚本文件排查和清除。
一般服务器被入侵的迹象，包括但不局限于：由内向外发送大量数据包（DDOS肉鸡）、服务器资源被耗尽（挖矿程序）、不正常的端口连接（反向shell等）、服务器日志被恶意删除等。那么既然是入侵检测，首先要判断的是服务器是否被入侵，必须排除是管理员操作不当导致的问题，因此入侵检测的第一项工作就是询问管理员服务器的异常现象，这对之后入侵类型的判断非常重要。

主机取证溯源是安全事件运营的最后一公里，应急响应的速度和质量决定了一次重大安全事件的应对是否成功，能否尽可能挽回损失。

这几年，主机应急响应的需求显著增加。这是因为随着攻防对抗的持续升级，黑客攻击技术越发精深、手段越发高超隐蔽，传统安全防护体系基本防不住，且入侵后难以被发现。从技术角度来看，供应链攻击、0day打击、社工钓鱼等技术是目前边界防护的盲点，非常考验防守方的未知威胁发现能力和快速止血能力。

尽管失陷主机应急响应对时间要求苛刻，需通过攻防响应侧的专业技术长板去弥补跨部门协商、应急响应流程不完善等导致的时间流失，但因主机痕迹检测领域技术较为空白、主机侧检测技术对安全人员知识的广度和深度要求更高、主机取证溯源过程更依赖人员的质量而非数量等，在日常应急响应过程中落