# 主要大致流程就是：

• 同源样本发掘
• 分析样本提取可溯源线索C&C域名、邮箱、手机号码等
• 通过代码中的线索利用搜索引擎进行信息发掘

• 0x00 同源样本发掘
  主要还是依赖大数据在样本库中进行相似样本的检索，这里可以根据具有特殊意义的字符串（C&C、邮箱、手机号、指令或者其他特殊的仪式性字符串），还有就是在网上检索事件，尽量查找样本，其实这一步主要还是取决于你背后的实力，公司牛逼能拿到大量样本数据，建立合适的检索工具这一步会省很多事儿（AVL Insight在Android样本同源检索这块儿真的很给力啊）。

• 0x01 分析样本提取可溯源线索C&C域名、邮箱、手机号码等
  分析样本，找到具体的攻击手段，以及威胁的维度，通过分析确定样本的性质（一般针对APT的九成九的都是间谍件，针对色情多是诱导支付，针对勒索多是锁屏弹窗+联系xx支付），间谍件的隐私信息上传C&C或者是邮箱需要额外关注，色情件的支付方式支付账号需要关注（还有获取色情信息的服务器域名也是非常重要），勒索件就一般都比较低级（Android平台的一般都比较低级），直接找解锁要联系的QQ号就行。

• 0x02 通过代码中的线索利用搜索引擎进行信息发掘
  通过在样本中发掘出的C&C、邮箱、手机号等信息，利用搜索引擎进行信息检索，发掘幕后组织或者个人。针对C&C类型的信息，可以利用某些平台（微步、AVL Insight等）先查域名指向的IP地址，然后观察同样指向该IP的其他域名，也可以进行子域名查询，在分别查询子域名所指向的IP地址，在0x00中理论上会检索到多个样本，不同的样本可能会使用不同的C&C，但是多数情况下不同的域名会指向相同的IP地址，或者存在一定的关系（服务器所在地，注册人信息等），使用whois反查，进行注册信息检索，有时如果开发者不小心，可以直接根据注册域名时留下的信息追踪到开发者，但有时开发者会十分小心，利用第三方的注册机构进行代理，这里是无法直接查询到开发者的信息的。有些牛逼的APT组织甚至通过入侵服务器，利用他人的服务器作为跳板进行多层代理最终才访问到控制端的服务器。针对邮箱一般是利用索引引擎进行相关信息的检索，尽量发掘邮箱的注册人信息。针对手机号，QQ号也是通过搜索引擎进行检索外加上社工手段（社工牛逼的可以直接套出很多有用信息）

总结

   感觉难点主要在两个方面：0x00中的同源样本检索，这个没有很大的资源真的做起来很费劲；还有就是0x02中对真实信息的发掘工作，如果对手在这方面的对抗做的很足的，确实很难发掘都有用的信息。
   对于溯源工作，主要需要发掘以下信息：攻击的来源，传播途径、方式，攻击覆盖的人群，攻击的技术方法，攻击的目的，以及网络攻击的幕后现实中的黑手的身份信息。