# HW蓝队面试题整理（防守方面试题）
## 一、应急响应
### A. 宏观题 1. 基本思路流程
步骤 内容 说明 收集信息 收集客户信息和中毒主机信息，包括样本 获取基础数据 判断类型 判断是否是安全事件，何种安全事件 勒索、挖矿、断网、DoS等 抑制范围 隔离使受害面不继续扩大 防止事件扩散 深入分析 日志分析、进程分析、启动项分析、样本分析 方便后期溯源 清理处置 杀掉进程，删除文件，打补丁，删除异常系统服务，清除后门账号 处理完毕后恢复生产 产出报告 整理并输出完整的安全事件报告 总结复盘

### B. Windows入侵排查思路 1. 检查系统账号安全
- 查看服务器是否有弱口令，远程管理端口是否对公网开放
  ```
  netstat -ano
  ```
- 使用 lusrmgr.msc 查看服务器是否存在可疑账号、新增账号
- 检查管理员群组（Administrators）里的新增账户，如有，立即禁用或删除
- 使用 D 盾或者注册表查看是否存在隐藏账号、克隆账号
- 结合日志，查看管理员登录时间、用户名是否存在异常
  ```
  Win+R → eventvwr.msc → Windows日志–安全 → 导出 → Log 
  Parser分析
  ``` 2. 检查异常端口、进程
- netstat -ano 检查端口连接情况
- 任务管理器查看进程 3. 检查启动项、计划任务、服务 4. 查看系统相关信息
- 系统版本以及补丁信息
- 查找可疑目录及文件
- 日志分析
### C. Linux入侵排查思路 1. 账号安全
- who ：查看当前登录用户（tty本地登陆，pts远程登录）
- w ：查看系统信息和用户行为
- uptime ：查看登陆时长、用户数、负载 2. 用户信息文件
/etc/passwd （任何人可访问）：

```
root:x:0:0:root:/root:/bin/bash
# 格式：用户名:密码:UID:GID:用户说明:家目录:shell
```
/etc/shadow （仅root可访问）：

```
root:$6$oGs1PqhL2p3ZetrE$X7o7bzoouHQVSEmSgsYN5UD4.
kMHx6qgbTqwNVC5oOAouXvcjQSt.
Ft7ql1WpkopY0UV9ajBwUt1DpYxTCVvI/:16809:0:99999:7:::
# 格式：用户名:加密密码:密码最后一次修改日期:修改间隔:有效期:警告天数
:宽限天数:失效时间:保留
``` 3. 历史命令
- history ：查看root的历史命令
- 查看 /home 各帐号目录下的 .bash_history
- 清除历史 ： history -c （需手动删除文件记录） 4. 检查异常端口
```
netstat -antlp | more
ls -l /proc/$PID/exe  # 查看进程文件路径
file /proc/$PID/exe
``` 5. 检查异常进程
```
ps aux | grep pid
``` 6. 检查开机启动项
- /etc/rc.local
- /etc/rc.d/rc[0~6].d 7. 检查定时任务
```
crontab -l  # 列出cron服务内容
crontab -e  # 编辑crontab文件
crontab -r  # 删除所有计划任务（谨慎使用）
```
重点关注目录 ：

- /var/spool/cron/*
- /etc/crontab
- /etc/cron.d/*
- /etc/cron.daily/*
- /etc/cron.hourly/*
- /etc/cron.monthly/*
- /etc/cron.weekly/
- /etc/anacrontab
- /var/spool/anacron/* 8. 检查服务
```
chkconfig --list
``` 9. 检查异常文件和系统日志
### D. Linux登录日志查看
日志文件 用途 /var/log/wtmp 存储登录成功的信息 /var/log/btmp 存储登录失败的信息 /var/log/utmp 存储当前正在登录的信息

常用命令 ：

```
cat /etc/passwd | grep '/bin/bash'  # 查看可登录账户
lastlog  # 查看所有用户最后的登录信息
last     # 查看用户最近登录信息
who      # 查看当前登录系统情况
```
### E. Linux常用排查命令
命令 用途 top 查看当前系统状态 uname -a 操作系统信息 ps 查看系统进程信息 history 列出历史命令 netstat 列出本机所有连接和监听端口 lsof 查看谁在使用某个端口 who 查看当前用户登录情况 awk -F: '{if($3==0) print $1}' /etc/passwd 分析超级权限账户 lastb 查看用户错误的登录信息 awk -F: 'length($2)==0 {print $1}' /etc/shadow 查看空口令账户

### F. Linux基线规范
每个公司有各自的基线规范体系，但通常包括以下核心要点：

- 用户账号管理规范
- 密码策略规范
- 服务管理规范
- 日志审计规范
- 访问控制规范
- 安全更新规范
## 总结
本文涵盖了蓝队面试中应急响应方向的核心知识点，包括Windows和Linux系统的入侵排查方法、日志分析技巧以及常用命令。建议结合实际操作进行深入学习，祝你面试顺利！

HW蓝队防守方面试题