![](https://img-blog.csdnimg.cn/20201014180756916.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
查证
bylfsj
这个作者很懒,什么都没留下…
展开
-
Linux应急响应入侵排查思路
0x00 前言 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结...转载 2019-10-18 15:53:11 · 632 阅读 · 0 评论 -
windows应急响应入侵排查思路
0x00 前言 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。常见的应急响应事件分类:web入侵:网页挂马、主页篡改、Web...转载 2019-10-18 15:52:44 · 696 阅读 · 0 评论 -
windows日志查看与清理
当你的才华还撑不起你的野心时那你就应该静下心来学习目录前置知识点:一、日志查看二、日志清除 本次我们来讲讲常见服务的日志记录位置;阅读常见服务产生的日志;掌握系统日志、服务日志和计划任务日志的清理方法,在这之前我们先了解一些一些前置知识点,方便...转载 2019-10-15 13:55:58 · 13774 阅读 · 1 评论 -
后渗透篇:清理windows入侵痕迹总结【详细】
当你的才华还撑不起你的野心时那你就应该静下心来学习目录清理windows入侵痕迹0x01 前言了解为什么需要清除入侵痕迹?一、设置跳板二、必不可少的跳板三、代理服务器简介1)http代理服务器2)Sock5代理服务器3)VPN代理服务器四、使用Tor隐身了解需要删除哪些日志?1....转载 2019-10-15 13:55:28 · 13464 阅读 · 0 评论 -
后渗透篇:浅谈Windows入侵检查
1准备工作检查人员应该可以物理接触可疑的系统。因为黑客可能侦测到你可以在检查系统,例如网络监听,所以物理接触会比远程控制更好。为了当做法庭证据可能需要将硬盘做实体备份。如果需要,断开所有与可疑机器的网络连接。做入侵检查时,检查人员需要一台PC对检查的过程进行检查项目的结果记录。请维护可疑服务器人员或者PC使用人员来配合,来确定机器上运行的服务和安装的软件,便于安全检查人员提交检查的效...转载 2019-10-09 18:46:25 · 611 阅读 · 0 评论 -
后渗透篇:利用Volatility进行入侵痕迹分析
本文利用Volatility进行内存取证,分析入侵攻击痕迹,包括网络连接、进程、服务、驱动模块、DLL、handles、检测进程注入...转载 2019-10-09 18:46:43 · 3142 阅读 · 3 评论 -
后渗透篇:linux入侵控制与痕迹清理
(1)开机自动反弹shell(2)linux后门Rookit目前常用的有:t0rn /mafix/enyelkm 等maf...转载 2019-10-09 18:46:52 · 1143 阅读 · 0 评论 -
黑客入侵应急分析手工排查
行文仓促,不足之处,还望大牛指正。1 事件分类常见的安全事件:Web入侵:挂马、篡改、Webshell系统入侵:系统异常、RDP爆破、SSH爆破、主机漏洞病毒木马:远控、后门、勒索软件信息泄漏:脱裤、数据库登录(弱口令)网络流量:频繁发包、批量请求、DDOS攻击2 排查思路一个常规的入侵事件后的系统排查思路:文件分析a) 文件日期、新增文件、可疑/异常文件、最近使用...转载 2019-10-08 16:31:02 · 693 阅读 · 0 评论 -
后渗透篇:Windows系统被入侵后处理方式介绍
使用前一定先创建快照备份,否则不要使用本文方法。1、将ECS断开网络连接使用ECS安全组单独对该ECS进行隔离;出方向禁止所有协议。入方向只允许运维的端口和指定IP进入,其他均禁止。2、脚本的cmd以管理员权限运行。核心的点:将系统内部非正常的系统文件,杀掉进程;删除文件,删除注册表,删除计划任务,禁止/停止/删除服务。下述脚本只做参考:复制下述内容,放到windows系...转载 2019-10-09 18:46:34 · 872 阅读 · 0 评论