cavathon的博客

需要登录SQL Server Management Studio，在“管理 - SQL Server 日志中查看。没有默认日志的情况下可以在nginx.conf查看路径。Windows中在安装目录下的。命令，可查询之前使用的SQL。可以通过编辑配置文件来启用。默认情况下统一存放在。命令，可查询日志路径。

Linux 系统中的日志一般在/var/log使用查看任务计划相关操作使用查看验证和授权信息。

在Windows系统中，日志包括：系统日志、安全性日志及应用程序日志。在Windows Server 2003之前日志的位置为：在Windows Vista以上的版本中除此之外，在Windows Vista以上的版本中还存在其他日志，这些日志存储在在窗口中输入eventvwr打开，查看相关的日志。

逐个排查Users下所有以00000开头的项，如果F值与000001F4的F值相同，则可能为克隆用户。打开计算机管理依次找到 系统工具 --> 本地用户和组 --> 用户 可查看隐藏用户。打开注册表编辑窗口，选择HKEY_LOCAL_MACHINE下的SAM选项，勾选。命令行中输入msinfo打开系统信息，可查看详细的系统信息。课显示用户账户信息，但无法查看到以$结尾的隐藏用户。命令，点击启动，可查看启动项详细信息。，即可查看任务计划的详细信息。可以查看目标用户的详细信息。通过注册表查看启动项。

文件的内容，ubuntu18.04后不再适用；目录下的所有文件和目录，以及它们的详细信息。即可查看/etc目录下的所有计划任务。文件的内容，较新版本中也被禁用；命令查看当前用户的任务计划语法为。也可检查/etc目录下的任务计划。即可显示root用户的任务计划。可查看所有用户最后的登录信息。可查看用户登录错误的信息。可查看用户最近登录信息。可查看当前用户登录信息。也可查询系统版本信息。查看系统已载入的模块。

DLL(动态链接库)是Windows系统中的一种共享库，与代码概念中的类有一定思维上的重合，大致用于代码重用，模块化设计，更新维护等功能。打开任务管理器，添加命令行和路径名称等进程页列，获得更多进程相关信息。可通过关注进程的路径名称和命令行是否可以判断。挖矿病毒允许时页伴随着CPU占用飙升的情况。来查找PID为900的进程及其对应的服务。tasklist还有过滤器的功能、使用。可以显示进程与服务的对应情况。可以查询调用指定DLL的进程。可显示进程与其加载的DLL。命令可查看所有进程信息。

linux中使用netstat和一些系统命令进行服务排查。如果发现有进程存在恶意外链的情况，可以通过。命令，可以列出所有服务单元文件及其状态。有时攻击者会将进程隐藏，按照顺序执行。netstat的常用参数有。如果是恶意进程，可以通过。来查看对应的可执行程序。来查看进程所打开文件。

也可以对文件的创建时间、修改时间、访问时间进行排查，如果文件的相关时间存在逻辑问题，就极有可能是恶意文件。也可通过Amcache.hve文件查询应用程序的执行路径，上次执行时间和SHA1值，在运行窗口中输入。对Webshell的排查可使用相关工具，如D盾、HwsKill等。使用，查找2024/2/19之后的exe新建文件进行搜索。可打开Amcache.hve所在文件夹。

Webshell的排查。在Linux中Webshell的排查可以通过分析文件、流量、日志进行基本的分析。命令可以详细查看文件的时间信息，如果发现文件的某一时间信息与应急响应时间日期相近、说明可能被篡改，使用。/tmp、/usr/bin、/usr/sbin等经常作为攻击者下载恶意软件的目录及替换文件的目录。此外，~/.ssh及/etc/ssh也经常被攻击者配置后门，需重点排查。查看指定目录时，可以对文件时间进行排序使用命令。查看相关系统命令的修改时间、使用。可查找一天内新增的sh文件。权限的文件进行筛选。