當年，APT這個詞剛出現的時候震懾了一大群安全同學，“APT（Advanced Persistent Threat）是指高級持續性威脅”，這個專業定義讓大家都無比崇拜。
隨著逐步研究與接觸，尤其是在處理過APT入侵后，慢慢明白，其實所謂apt攻擊，就是一個黑客或黑客組織死心眼，一門心思要搞你。他們針對你使用專門的新技術，進來后耐心的收集信息，逃避檢測長期潛伏，最終竊取最有價值的數據。其實這個過程和職業小偷一個道理，分析你家的基本情況，如作息時間、出門時間、資產情況、個人信息等，然后利用針對你家的專用信息，如你的生日，打開你家的密碼門鎖。進去不急著偷東西，而是裝攝像頭、監聽器等，長期監視你的活動，獲取銀行密碼、保險箱密碼、各種找回密碼的問題等等，最后再獲取巨大的金錢利益。特點無非就是：
1、隱蔽性強，就是利用針對性的高技術或偏門的方法，讓你的防御、檢測措施生效；
2、耐心度高，長期潛伏不作惡，讓你的行為檢測無的放矢；
3、高速收割，和檢測、攔截系統打時間差，在被阻止前竊取完成；
針對以上三點，當前針對apt攻擊主要從三個維度發現
1、終端、網絡行為異常；
2、大數據分析，終端行為偏移正常、行為聚類后的終端孤點等；
3、情報數據、情報關聯數據，如歷史用的病毒手法、md5、url、ip、域名和ip對應關系、歷史關系等；
但其實這三個方案無論怎么檢測發現，最終都只是發現疑似apt攻擊，大量誤報無法避免，如用戶主動訪問惡意url、用戶今天無聊所以操作行為偏移正常邏輯等等。所以最終定性還是靠人工確定，說白了就是檢測發現疑似被apt入侵的終端，安全人員還需要通過取證獲取機器數據，最后分析取證后的數據才能最終定性是否存在apt入侵行為。
所以今天我們就來談談APT入侵的取證思路，先從整體看下：

如上就是apt入侵的通用流程，我們結合此流程，根據黑客入侵的路徑和動作，探討下要采集哪些數據或日志來分析我們的終端是不是正在被入侵或被入侵過了。
Google翻查各種工具，看的我一臉懵逼呀，各種介紹的高大上工具，什么Autopsy、Volatility、redline等一堆一堆的，本人才疏學淺，感覺要不就是專注于一個方面，如文件痕跡、內存分析等，要不就是各種基于已知的ioc分析，沒找到任何一個完全適合windows入侵取證的工具。為了不至于無路可走，決定放飛思路，diy一下。
根據日常我們要取證的場景：
終端出現異常點，或就是看它不爽，我們怎么取證什么數據才能定性是否被黑客入侵？
取證工具簡單化，不考慮那么多ui、關聯數據等問題，終端我們可以接觸，所以復雜需要關聯的或圖形化的，我們直接在機器看，不必須讓取證工具變得那么復雜。
分析下，我們通過黑客入侵各個階段的做法來看我們要取什么證據
 
進入/執行階段
第一階段：病毒文件或代碼進入電腦（磁盤或內存）
a)      攻擊難度低：合法自動進入
1)     釣魚郵件的附件，利用自動下載附件的功能，也可誘導用戶下載
2)     Im工具等，利用自動下載，或誘導下載
3)     U盤插入，利用擺渡u盤，誘導使用被惡意丟棄的u盤等
4)     瀏覽器訪問，這個大量文件到臨時目錄，只不過難于執行起來
5)     共享盤掛載，這個雖然不是本地磁盤，但是還是可以直接運行的
6)     各種同步盤，如云和終端同步，多終端同步等，例如攻破云盤上傳惡意文件后，文件自動同步到終端。
7)     P2p下載方，修改資源塊，替換正常塊。（沒遇到過，推測可行）
b)     攻擊難度中：誘導用戶直接下載（包括配置好自動下載地址）或拷貝病毒
1)     瀏覽器、下載工具等主動下載，多為捆綁病毒或替換正常軟件（軟件供應鏈），這也是當前感染病毒最多的渠道，互聯網雖好，但也是到處有坑！
2)     應用軟件，或應用軟件組件更新等
3)     郵件、im、word等交流工具中的鏈接，誘導用戶下載
4)     U盤文件拷貝
c)      攻擊難度高：漏洞利用進入
1)     瀏覽器漏洞，各種cve
2)     郵件漏洞，如打開觸發漏洞的郵件本身，則會自動下載病毒（一個途徑，筆者未遇到過）
3)     其他軟件漏洞，這就比較廣了，主要是各種常用軟件，尤其是提供輸入、網絡接受數據等功能的，例如發送畸形包，讓某軟件下載病毒文件。
第二階段：病毒文件或代碼變為內存中可運行代碼
a)      誘導用戶主動運行
1)      Office各種宏，利用自動宏或誘導用戶啟動宏拉取惡意文件或代碼
2)      社工誘導，如im聊天誘導、郵件誘導、誘惑文件名誘導等等
3)      冒充正常文件名
b)     U盤自動運行
1)     這個就不解釋了，這也是u盤被利用的原因，插入即可完成進入和執行兩步，高效快捷！
c)      漏洞自動運行
1)     這個主要是代碼類，漏洞利用直接注入shellcode，修改ip運行。
綜上，在該階段我們要獲取
1、郵件附件情況，包括下載和執行
2、im接受文件情況，包括下載和執行
3、u盤自動運行情況、拷貝情況
4、office宏的執行情況
5、瀏覽器臨時文件情況
6、共享掛載情況
7、同步盤情況
8、p2p下載情況
9、瀏覽器、下載工具等下載情況
10、應用軟件的自動更新和更新配置情況
11、瀏覽器、郵件、其他軟件等的漏洞情況和漏洞觸發（盡可能）情況