自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+
  • 博客(10)
  • 收藏
  • 关注

原创 面试篇-奇安信暑期实习面试题-观星-信息安全工程师

时间大概30分钟

2024-06-07 11:21:46 189

原创 应急响应篇 -其他日志存储位置

需要登录SQL Server Management Studio,在“管理 - SQL Server 日志中查看。没有默认日志的情况下可以在nginx.conf查看路径。Windows中在安装目录下的。命令,可查询之前使用的SQL。可以通过编辑配置文件来启用。默认情况下统一存放在。命令,可查询日志路径。

2024-03-24 11:49:22 381 1

原创 应急响应篇-Linux 日志分析

Linux 系统中的日志一般在/var/log使用查看任务计划相关操作使用查看验证和授权信息。

2024-03-24 11:09:49 1970 1

原创 应急响应篇-Windows 日志分析

在Windows系统中,日志包括:系统日志、安全性日志及应用程序日志。在Windows Server 2003之前日志的位置为:在Windows Vista以上的版本中除此之外,在Windows Vista以上的版本中还存在其他日志,这些日志存储在在窗口中输入eventvwr打开,查看相关的日志。

2024-03-23 11:58:43 305 1

原创 应急响应篇-Linux 文件排查

Webshell的排查。在Linux中Webshell的排查可以通过分析文件、流量、日志进行基本的分析。命令可以详细查看文件的时间信息,如果发现文件的某一时间信息与应急响应时间日期相近、说明可能被篡改,使用。/tmp、/usr/bin、/usr/sbin等经常作为攻击者下载恶意软件的目录及替换文件的目录。此外,~/.ssh及/etc/ssh也经常被攻击者配置后门,需重点排查。查看指定目录时,可以对文件时间进行排序使用命令。查看相关系统命令的修改时间、使用。可查找一天内新增的sh文件。权限的文件进行筛选。

2024-03-23 11:00:52 519 1

原创 应急响应篇-Windows 文件排查

也可以对文件的创建时间、修改时间、访问时间进行排查,如果文件的相关时间存在逻辑问题,就极有可能是恶意文件。也可通过Amcache.hve文件查询应用程序的执行路径,上次执行时间和SHA1值,在运行窗口中输入。对Webshell的排查可使用相关工具,如D盾、HwsKill等。使用,查找2024/2/19之后的exe新建文件进行搜索。可打开Amcache.hve所在文件夹。

2024-03-21 20:01:46 468 1

原创 应急响应篇-Linux 进程排查及服务排查

linux中使用netstat和一些系统命令进行服务排查。如果发现有进程存在恶意外链的情况,可以通过。命令,可以列出所有服务单元文件及其状态。有时攻击者会将进程隐藏,按照顺序执行。netstat的常用参数有。如果是恶意进程,可以通过。来查看对应的可执行程序。来查看进程所打开文件。

2024-03-17 17:09:51 544

原创 应急响应篇-Windows 进程排查及服务排查

DLL(动态链接库)是Windows系统中的一种共享库,与代码概念中的类有一定思维上的重合,大致用于代码重用,模块化设计,更新维护等功能。打开任务管理器,添加命令行和路径名称等进程页列,获得更多进程相关信息。可通过关注进程的路径名称和命令行是否可以判断。挖矿病毒允许时页伴随着CPU占用飙升的情况。来查找PID为900的进程及其对应的服务。tasklist还有过滤器的功能、使用。可以显示进程与服务的对应情况。可以查询调用指定DLL的进程。可显示进程与其加载的DLL。命令可查看所有进程信息。

2024-03-17 16:11:29 1113

原创 应急响应篇-Linux 基本排查

文件的内容,ubuntu18.04后不再适用;目录下的所有文件和目录,以及它们的详细信息。即可查看/etc目录下的所有计划任务。文件的内容,较新版本中也被禁用;命令查看当前用户的任务计划语法为。也可检查/etc目录下的任务计划。即可显示root用户的任务计划。可查看所有用户最后的登录信息。可查看用户登录错误的信息。可查看用户最近登录信息。可查看当前用户登录信息。也可查询系统版本信息。查看系统已载入的模块。

2024-03-17 14:41:23 368

原创 应急响应篇-Windows 基本排查

逐个排查Users下所有以00000开头的项,如果F值与000001F4的F值相同,则可能为克隆用户。打开计算机管理依次找到 系统工具 --> 本地用户和组 --> 用户 可查看隐藏用户。打开注册表编辑窗口,选择HKEY_LOCAL_MACHINE下的SAM选项,勾选。命令行中输入msinfo打开系统信息,可查看详细的系统信息。课显示用户账户信息,但无法查看到以$结尾的隐藏用户。命令,点击启动,可查看启动项详细信息。,即可查看任务计划的详细信息。可以查看目标用户的详细信息。通过注册表查看启动项。

2024-03-17 09:27:28 523

空空如也

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

提示
确定要删除当前文章?
取消 删除