应急响应事件处理过程参考手册

D盾介绍及下载

下载地址：http://www.d99net.net/

使用步骤与杀毒软件类似，下面简要说一下

D盾使用步骤

1. 更新规则库

点击检测更新，自动更新到最新的规则库

更新后在底部会显示当前规则库版本：

1. 选择网站根目录，进行webshell查杀

点击自定义扫描：

选择网站根目录（请提前与客户沟通得知此路径）

确认后就开始扫描了，底部会显示扫描进度，扫描后会显示结果，如下图：

1. 后门文件确认

扫描出的可疑文件，可通过右键点击“查看文件”查看可疑文件的源代码

查看源代码后，可确认可疑文件是否包含后门代码

1. 后门文件上报

在D盾扫出后门文件后，如果不能判断扫出来的文件是否为后门，请按照流程，联系安全服务团队工程师，附件里带上D盾扫出的可疑文件，由安全服务团队工程师来确认后答复，再做下一步动作

1. 后门文件清理

安全服务团队收到可疑文件后，根据实际情况会在邮件里写明后门的清理方法，根据邮件里说明的方法去做即可

D盾扫描案例

1. 与客户确认网站根目录为“C:\PHPnow-1.5.6\htdocs\dedecms\uploads\“
2. 使用D盾扫描上述目录，如下图
3. 查看a.php的代码，确认是一个独立的一句话php webshell，如下图：
4. 将a.php发送给安全服务团队做分析，总部回邮件告知直接删除此文件即可
5. 先备份此文件到非网站路径下，然后删除此文件