1.检查思路

	病毒查杀、流量分析、进程分析、自启动项、内存取证
	威胁情报：微步在线、360网络安全研究、ISC SANS威胁检测

2.病毒查杀

	使用杀毒软件或者 EDR 工具进行全盘扫描查杀
	工具：EDR、TBScaner、360杀毒、电脑管家、sophos、mcafee、commodo

3.流量分析

	挖矿病毒，僵尸网络，肉鸡， CC 服务器，内网传播等恶意行为都需要与其他主机进行通信
	 工具：netstat 命令或者借助一些成熟的工具如PChunter ，TCPViewer

4进程分析

4.1windows进程

		1. Windows核心进程  // 如explorer.exe（资源管理器）、winlogon.exe（用户登录）
		2.系统进程// svchost.exe(Windows服务主进程) 、lsm.exe(本地回话管理器)
		3.用户进程 // qq.exe(腾讯QQ主程序) 、chrom.exe(Google浏览器）

4.2进程模式

		1.病毒自己的exe程序
		2. 注入到系统程序
		3. 其他方式 

4.3工具

 virustotal、PowerTool、Procmon、comodoCCE、火绒剑

5.自启动项

	病毒为了实现保活，不可避免会添加或修改启动项、服务项，因此启动项也是非常重要的入手调查点
	工具：autoruns、PEtools、PowerTool

6.内存观察

	恶意程序运行在windows系统当中必然会加载到系统内存当中
	工具：IDA、PowerTool