【攻防演練專題】快速開展應急處置與分析取證

本期為【攻防演練專題】系列的第九期（最后一期），將分享在攻防演練中，如何運用應急處置工具箱高效開展應急處置、分析取證工作。

在攻防演練期間，針對突發的惡意威脅攻擊事件，需要快速開展應急處置與分析取證工作。此時，具備應急處置、分析取證能力的工具箱將顯著提高工作效率，甚至發揮出難以替代的重要作用。

拓痕應急處置工具箱（以下簡稱：拓痕工具箱）正是一款適用于上述場景的便攜式工具箱，其核心部件包含：主機深度分析處置工具、應急處置主機等。拓痕工具箱內置國產化自主可控的威脅檢測引擎，集成了安天在系統安全監測與處置、流量安全分析、惡意代碼行為分析及應急響應等領域的多年技術積淀與實戰能力，能夠有效支撐攻防演練期間的防守保障。

01、攻防演練價值

1. 便攜式工具，界面簡潔易用，無需安裝，即插即用。

2. 具備對威脅事件的快速響應處置能力，增強應急響應和分析處置能力。

02、演練場景適配

1. 安全巡檢

拓痕工具箱內的主機安全檢測系統，依托安天強大的基礎引擎和自研安全驅動，可以全面分析系統面臨的安全隱患與威脅。模塊輸出的分析報告內容詳實，便于安全管理人員掌握全網資產的安全狀態，滿足多場景安全巡檢的工作需要。

2. 惡意代碼檢測

依托安天20余年專業反病毒經驗與能力積累，通過快速取證，可以對目標機的自啟動項、進程、線程、句柄、端口、內核信息、MBR、插件、鉤子、系統文件等關鍵位置進行全方位的檢測，通過云端檢測、本地引擎形成對各檢測對象的威脅等級判定。

3. 應急響應與處置

拓痕工具箱全部功能實現均基于 ring0 級進行開發研制，對目標主機擁有最高級別的分析處置權限，通過惡意代碼檢測模塊檢出的關鍵信息，使用底層驅動技術對自啟動項、磁盤引導扇區、系統用戶、端口、服務、進程、內核模塊、消息鉤子、內核鉤子、SSDT、注冊表等系統關鍵位置進行惡意攻擊行為分析，并提供相應的應急處理手段。面對復雜的惡意入侵，拓痕工具箱可以提供強力的應急處置手段，保障受攻擊的業務系統得到快速處置和恢復、加固，降低其再次受到攻擊的風險。

03、產品能力支撐

拓痕工具箱可廣泛應用于網絡安全事件的應急響應、威脅檢測、分析、處置、取證及 IT系統緊急運維等場景。拓痕工具箱完全由安天自主研發，融合安天核心引擎與20余年威脅對抗經驗，產品安全可控，操作簡單易用，在終端側打造集安全檢測、深度分析、證據提取、問題處置于一身的實用工具，形成閉環操作，有效應對安全事件各環節需求，面對威脅既可未雨綢繆、防患于未然，又能夠應對有方、防微杜漸。

主機安全檢測模塊由便攜式專用USB設備或光盤承載，界面簡潔易用，無需安裝，即插即用。基于國產化自主可控的威脅檢測引擎（AVL-SDK）和威脅情報的擴展，實現了海量惡意代碼檢測和精準命名能力，并形成一定的未知威脅發現能力。能夠在主機側實現安全檢測、深度分析、證據提取、問題處置的閉環操作，輔助安全人員對安全事件的全生命周期開展調查取證工作。

應急處置功能針對頑固感染中的多進程/線程保護、驅動級保護，以及 Rookit 木馬的隱藏點，設計了靈活的掛載內核驅動提取與處置機制，對目標終端具有高級別的分析處置權限，且在網絡安全事件中具備底層的處置能力。

同時，通過聯動“探海威脅檢測系統”可對終端防護軟件未檢出惡意威脅進行定位取證，對惡意威脅形成初步分析，對安天多產品進行知識輸出；通過聯動“追影威脅分析系統”對未檢出的惡意威脅進行詳細分析，可有效支撐分析人員分析惡意威脅攻擊方式及邏輯，從而進行有效、快速的業務系統加固。

原文來源：安天集團