1、先通过进程或者网络连接找出恶意的进程连接
2、针对找到的进程或者网络连接分析启动该进程的程序
3、可以利用在线威胁情报平台分析该程序检测一下其运行的特征,分析出是否还有其他的一些恶意程序
4、有技术能力的可以自己通过静态分析结合动态调试进行分析,并和在线检测结果进行对比
5、通过日志以及流量等情况和上边的分析结果结合去判断是否有其他系统受到影响
对样本进行关联分析,可以关注IP地址、域名等线索,汇总威胁情报并进行梳理。
先丢到各大云沙箱平台,分析发起连接是那个主动连接到那个ip然后放到微步看看有没有人一样中过。
其他的就看得到的线索了。分析ip解析然后去查查whois,查看是否获取到某些有用的信息比如qq邮箱和姓名。一般得到qq邮箱可以直接拿到***了。具体的可以去网上看看别人是如何溯源。
主要就是对样本进行分析溯源,再一个就是office文档本身,这个基本上是没有啥痕迹的,但是也可能在文档信息里找到一点蛛丝马迹,例如创建者、图片索引信息等,不过概率不大
你丢到沙箱里面跑,他这个样本分析会有这个恶意外联的一个IP地址,域名信息,然后你可以根据他的ip,或者他的病毒模块去其他的威胁情报上继续找相关信息