首先第一个问题，反过来容易理解对不对？就是我们的受害者主动走出去内网，和外面的人聊天，是不是他们进行一个通话之后，攻击者在对我们的受害者进行一个控制，然后再让他去攻击我们的家庭成员，是不是这个是比较容易理解的，但是怎么打进来的，你知道吗？你不知道他怎么可以去控制，他怎么去突然之间就可以控制到1.50这个。对，怎么打进来你不知道对不对？这是不是这个问题？

Ok，第二个问题，2345我们都还是比较好理解的，就是它分别对不同的网段的IP发起了攻击。好没问题，攻击者是怎么知道这个信息的？不同的网段，你自己作为你公司的成员，你能知道有哪些网站吗？不知道，那么攻击者是怎么知道的，为什么可以直接发起攻击？如果没有人提供的话，那么肯定就是做了什么？做了扫描探测的行为，对不对？好，问题2，在2345里面有什么，有这个登录数据库的行为，以及对这个 Sql server数据库进行一个提权的行为。

好，那么数据库的密码肯定是泄露了，那么如果没有人提供的话，是不可能直接登录成功的，对不对？并且我们在至今也没有通过设备的告警却发现他有这个爆破行为，所以说，我们通过以上信息就可以做出一些判断，要么就是信息泄露了，要么就是绝对做了内部的信息收集和探测，或者是扫描，那么也就是说攻击者一定是上传了攻击工具，也就是我们比较专业的叫什么？上传攻击的一些行为，攻击者一定是做了扫描探测的行为，那这两个是可以肯定的。

那么这一些是什么？这些东西是我们通过安全设备得到的一些信息，也就是攻击者利用1.50，或者说是对控制1.50以后，对内部的一些网络做了哪些行为，那么你像他对这些不同的网段或者工具对不对？那么接下来我们都要去对这些不同的网站去进行去查看，因为它既然已经攻击了，那么就有可能会被感染。感染是什么概念？感染就是对他的这个电脑上面上传一些工具，然后进行一些探测行为，或者说尝试进行一些横向攻击行为。这个是感染，什么是彻底感染？就是攻击者对不同网段的这一些主机取得了完全控制的权限。好，那这些都是攻击者的一些横向行为。

那么接下来我们是做应急响应的，是做取证的，那么我们需要做什么？我们需要做这些事情，他上传木马就一定有样本，他做了扫描，就一定有软件，就一定有脚本，就一定有执行命令，对不对？这些都是痕迹，那么也会有相应的样本和痕迹。那么所以接下来，我们就要去根据这个思路去做取证，去做升级排查，这个就是我们之前所说的什么？要根据当前的一个实际情况和实际需求，去做一些相应的操作，而不是说是你一上来你就照着那些操作流程去做的，不是这样子的。接下来，我们就定位攻击工具。