- 博客(9)
- 收藏
- 关注
RSS订阅原创 应急响应篇 -其他日志存储位置
需要登录SQL Server Management Studio,在“管理 - SQL Server 日志中查看。没有默认日志的情况下可以在nginx.conf查看路径。Windows中在安装目录下的。命令,可查询之前使用的SQL。可以通过编辑配置文件来启用。默认情况下统一存放在。命令,可查询日志路径。
2024-03-24 11:49:22
333
1
原创 应急响应篇-Windows 日志分析
在Windows系统中,日志包括:系统日志、安全性日志及应用程序日志。在Windows Server 2003之前日志的位置为:在Windows Vista以上的版本中除此之外,在Windows Vista以上的版本中还存在其他日志,这些日志存储在在窗口中输入eventvwr打开,查看相关的日志。
2024-03-23 11:58:43
189
1
原创 应急响应篇-Linux 文件排查
Webshell的排查。在Linux中Webshell的排查可以通过分析文件、流量、日志进行基本的分析。命令可以详细查看文件的时间信息,如果发现文件的某一时间信息与应急响应时间日期相近、说明可能被篡改,使用。/tmp、/usr/bin、/usr/sbin等经常作为攻击者下载恶意软件的目录及替换文件的目录。此外,~/.ssh及/etc/ssh也经常被攻击者配置后门,需重点排查。查看指定目录时,可以对文件时间进行排序使用命令。查看相关系统命令的修改时间、使用。可查找一天内新增的sh文件。权限的文件进行筛选。
2024-03-23 11:00:52
361
1
原创 应急响应篇-Windows 文件排查
也可以对文件的创建时间、修改时间、访问时间进行排查,如果文件的相关时间存在逻辑问题,就极有可能是恶意文件。也可通过Amcache.hve文件查询应用程序的执行路径,上次执行时间和SHA1值,在运行窗口中输入。对Webshell的排查可使用相关工具,如D盾、HwsKill等。使用,查找2024/2/19之后的exe新建文件进行搜索。可打开Amcache.hve所在文件夹。
2024-03-21 20:01:46
251
1
原创 应急响应篇-Linux 进程排查及服务排查
linux中使用netstat和一些系统命令进行服务排查。如果发现有进程存在恶意外链的情况,可以通过。命令,可以列出所有服务单元文件及其状态。有时攻击者会将进程隐藏,按照顺序执行。netstat的常用参数有。如果是恶意进程,可以通过。来查看对应的可执行程序。来查看进程所打开文件。
2024-03-17 17:09:51
383
原创 应急响应篇-Windows 进程排查及服务排查
DLL(动态链接库)是Windows系统中的一种共享库,与代码概念中的类有一定思维上的重合,大致用于代码重用,模块化设计,更新维护等功能。打开任务管理器,添加命令行和路径名称等进程页列,获得更多进程相关信息。可通过关注进程的路径名称和命令行是否可以判断。挖矿病毒允许时页伴随着CPU占用飙升的情况。来查找PID为900的进程及其对应的服务。tasklist还有过滤器的功能、使用。可以显示进程与服务的对应情况。可以查询调用指定DLL的进程。可显示进程与其加载的DLL。命令可查看所有进程信息。
2024-03-17 16:11:29
609
原创 应急响应篇-Linux 基本排查
文件的内容,ubuntu18.04后不再适用;目录下的所有文件和目录,以及它们的详细信息。即可查看/etc目录下的所有计划任务。文件的内容,较新版本中也被禁用;命令查看当前用户的任务计划语法为。也可检查/etc目录下的任务计划。即可显示root用户的任务计划。可查看所有用户最后的登录信息。可查看用户登录错误的信息。可查看用户最近登录信息。可查看当前用户登录信息。也可查询系统版本信息。查看系统已载入的模块。
2024-03-17 14:41:23
323
原创 应急响应篇-Windows 基本排查
逐个排查Users下所有以00000开头的项,如果F值与000001F4的F值相同,则可能为克隆用户。打开计算机管理依次找到 系统工具 --> 本地用户和组 --> 用户 可查看隐藏用户。打开注册表编辑窗口,选择HKEY_LOCAL_MACHINE下的SAM选项,勾选。命令行中输入msinfo打开系统信息,可查看详细的系统信息。课显示用户账户信息,但无法查看到以$结尾的隐藏用户。命令,点击启动,可查看启动项详细信息。,即可查看任务计划的详细信息。可以查看目标用户的详细信息。通过注册表查看启动项。
2024-03-17 09:27:28
326
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人