前言

大學畢業(yè)后，我便投身網(wǎng)絡(luò)安全領(lǐng)域，起初在知道創(chuàng)宇公司（北京知道創(chuàng)宇信息技術(shù)股份有限公司）擔任安服工程師，深入?yún)⑴c眾多應急響應任務，積累了寶貴的實戰(zhàn)經(jīng)驗和豐富的技術(shù)資料。2020年年初，我加入了360公司（北京奇虎科技有限公司），彼時正值公司相關(guān)部門重組，我便承接了安服應急響應團隊建設(shè)的任務。本書的另外兩位作者，正是我所在團隊的兩位核心骨干。

在安服應急響應團隊建設(shè)及發(fā)展的過程中，我們逐漸構(gòu)建了完整的應急響應體系。我們的團隊平均每年處理網(wǎng)絡(luò)安全事件100余起，積累了大量的案例素材，在內(nèi)部形成了針對不同事件、不同場景的標準化處理手冊。

我們曾成功處理了一起深夜網(wǎng)絡(luò)安全事件，我們的工程師在很短的時間里就發(fā)現(xiàn)并解決了問題，這讓客戶非常滿意，同時提到他們也想學習這方面的技術(shù)，希望我們能推薦一些介紹相關(guān)內(nèi)容的圖書。為此，我特意在互聯(lián)網(wǎng)上搜索與網(wǎng)絡(luò)安全應急響應相關(guān)的圖書，但遺憾的是并未找到符合其“貼合實戰(zhàn)，可作為工具書讓工程師直接參考書中內(nèi)容進行操作”這類要求的圖書。這時我突然想到，如果將這些年團隊內(nèi)部積累的案例素材加以整理和優(yōu)化，進而集結(jié)成冊，不正是一本符合上述要求的圖書嗎？經(jīng)過公司內(nèi)部溝通，大家一致同意將自身積累的案例素材進行整理和輸出，為網(wǎng)絡(luò)安全領(lǐng)域的行業(yè)和技術(shù)發(fā)展貢獻一份自己的綿薄之力。

想法一經(jīng)確定，我們就開始尋找合作的出版社，幸得K0r4dji（小K）的推薦，我們聯(lián)系到了人民郵電出版社的編輯老師，經(jīng)過雙方的共同努力，本書得以順利完稿，進而有機會呈現(xiàn)給廣大讀者。

本書特點

（1）內(nèi)容貼近實戰(zhàn)。本書內(nèi)容來源于應急響應團隊內(nèi)部的網(wǎng)絡(luò)安全事件處置手冊，其中所介紹的技術(shù)和方法都是經(jīng)過實戰(zhàn)考驗的，總結(jié)的思路和策略具備較強的可實操性，可供工程師在遇到實際網(wǎng)絡(luò)安全事件時參考，進而實施排查、處置。

（2）提供真實案例。本書力求還原最真實的場景，案例均來源于實際的應急響應案例，涉及的內(nèi)容和代碼均在保證不泄露客戶信息的前提下予以展示。注意，為保護客戶隱私，書中部分截圖進行了模糊處理，敬請廣大讀者見諒。

閱讀前提

在閱讀本書時，讀者必須具備一些基本的網(wǎng)絡(luò)安全知識，并事先掌握基本的Linux知識。除此之外，讀者最好對以下知識也有基本的了解。

（1）攻防知識。“未知攻，焉知防”，掌握一定的攻防知識，有助于讀者更好地理解攻擊手法，識別攻擊類型、攻擊手段，了解攻擊者可能利用的漏洞，進而能夠通過采取補救措施降低將來遭到攻擊的風險。

（2）逆向知識。應急響應過程中通常會涉及對樣本的分析，可以通過逆向工程的方法分析出惡意軟件的行為特征、傳播方式、攻擊手段等信息，幫助確定惡意軟件的功能、目的和帶來的潛在的損害，以便進行有針對性的處置。