应急响应事件处置指南_cop(1)，2024年最新含爱奇艺，2024年最新小米，2024年最新腾讯，2024年最新阿里

本文链接：https://blog.csdn.net/m0_59117112/article/details/137820750

先自我介绍一下，小编浙江大学毕业，去过华为、字节跳动等大厂，目前阿里P7

深知大多数程序员，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年最新网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较多，这里只是将部分目录截图出来，全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频，并且后续会持续更新

如果你需要这些资料，可以添加V获取：vip204888 （备注网络安全）

正文

MemShell.SamplePathProvider为蚁剑的内存马

点击kill，提示操作成功，即可删除内存马

1.3.3 漏洞修复及其他异常处置

（1）根据上述方法清除发现的内存马，并修复发现的漏洞，避免网站系统再次受到攻击。排查服务器是否存在攻击者遗留的工具或后门，例如排查计划任务，启动项，进程等。（详情见三其他类型后门处置流程）

（2）检查相关业务系统（RDP、SSH、FTP等）是否存在弱口令账号，确认是否存在账号异常登录情况，修改弱口令，并对非必要对外开放的系统进行远程访问限制。

（3）查看系统补丁信息，根据当前系统补丁情况，确认是否存在未修复的系统漏洞。

（4）检查第三方软件漏洞，如果服务器内有运行对外应用软件（WEB、FTP 等），可通过官方公布的漏洞情况及补丁自查相关软件是否存在漏洞。

2 恶意程序类

2.1常见恶意程序类型

2.1.1 勒索病毒

特征：

勒索病毒主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害性大，该病毒利用各种加密算法对用户的文件、数据进行加密，被感染者一般无法解密，必须拿到解密的密钥才有可能破解。

2.1.2 挖矿病毒

特征：

挖矿病毒会伪装成一个正常文件进入受害者的电脑，利用主机或者操作系统的高危漏洞，并结合高级攻击技术在局域网内传播，控制电脑进行大量的计算机运算来获取虚拟货币。挖矿病毒会导致计算机长时间执行高性能计算，严重占用CPU和内存，致使电脑性能严重下降。

2.1.3 钓鱼程序

特征：

钓鱼程序入侵事件一般发生于针对个人、企业和组织的网络钓鱼攻击。攻击者通常使用社交软件对指定范围的对象发送钓鱼程序，常见手段有发送钓鱼邮件、文件下载链接、社交软件传输文件等，将钓鱼邮件伪装成文档、工具软件等文件，引诱受害者下载运行钓鱼程序，从而获取受害者主机的控制权限。

2.1.4 后门程序

特征：

后门程序是驻留在计算机系统中，其目的是为攻击者在用户不知情的情况下潜入计算机系统中。它会绕过一般保护措施，植入特定的代码，为黑客提供潜入入口，可以在未被授权的情况下访问被植入后门程序的计算机系统。

2.1.5 提权程序

特征：

提权程序分为本地提权、数据库提权和第三方软件提权。大多数计算机系统设计为可与多个用户一起使用，特权升级意味着用户获得他们无权执行的特权。本地提权能以高权限对更多的文件进行「增删改查」操作，收集主机系统中的敏感信息；数据库提权通常是数据库配置缺陷使黑客恶意利用数据库机制达到命令执行的目的；第三方软件提权是利用第三方软件存在的漏洞来进行获取权限的操作。

2.2处置流程

适用范围：勒索病毒、挖矿病毒、钓鱼程序、后门程序、提权程序

2.2.1 异常排查

根据不同的操作系统，选择对应的方式进行系统异常查找，定位恶意程序的名称及位置，并根据服务器的业务系统开放情况，如web系统、数据库系统、操作系统等，对相关系统进行漏洞排查，分析恶意程序的入侵途径，并修复相关系统的漏洞。

2.2.1.1 排查Windows系统异常

（1）检查是否存在异常进程

使用端口查询命令，定位异常外连的进程PID


netstat -ano

根据PID找到对应异常程序名称


tasklist

根据异常程序名称找到其对应的位置


wmic process

（2）检查是否存在恶意服务

通过 sc query 查看windows 服务状态

发现可疑服务，可通过sc qc <服务名> 查看服务的详细内容

（3）检查是否存在恶意文件

查看各盘下的temp有无异常文件(Windows 产生的临时文件)
windows/temp

查看快捷桌面
%UserProfile%\Recent

通过查看文件的修改时间，可以快速定位异常文件

2.2.1.2 排查Linux系统异常

（1）检查是否存在异常进程

使用ps、top、htop等命令查看进程情况

使用netstat端口查询命令，定位异常外连的进程PID

根据PID找到对应异常程序名称


ps aux

根据异常程序名称找到其对应的位置
方法一：ps -ef | grep 进程名

方法二：lsof -p 进程PID

方法三：使用/proc文件系统查看进程文件位置

Linux系统中的/proc文件系统提供了有关系统进程的详细信息。每个进程都在/proc目录下有一个以其PID命名的子目录。进入该子目录后，可以查看进程的文件位置信息。

（2）检查是否存在恶意文件

敏感目录的文件分析（如/tmp目录，命令目录/usr/bin、/usr/sbin等）

着重关注文件权限、文件时间及可疑文件的内容

2.2.1.3 排查SQL Server数据库异常

SQL Server 的 xp_cmdshell 是一个系统存储过程，用于在 SQL Server 实例上执行操作系统级别的命令。它可以被滥用，因为它允许未经检查和限制地执行任意命令，这可能会导致安全风险。要进行 SQL Server xp_cmdshell 入侵检测，可以采取以下步骤：

（1）检查 xp_cmdshell 是否已启用

运行以下查询来检查 xp_cmdshell 是否可用


EXEC sp_configure ‘xp_cmdshell’;

如果返回结果中的 “run_value” 为 0，则表示 xp_cmdshell 已禁用。如果未禁用，请继续下一步。

（2）排查日志文件

定期监视 SQL Server 的错误日志和 Windows 事件日志，以检测任何与 xp_cmdshell 相关的异常记录。

（3）检查是否存在未授权的用户或角色

运行以下查询来查找具有高权限的用户或其他不受信任的用户


SELECT * FROM sys.server_principals;

（4）禁用 xp_cmdshell

如果不需要使用 xp_cmdshell，可将其禁用。通过执行以下语句来禁用：


EXEC sp_configure ‘xp_cmdshell’, 0; RECONFIGURE;

2.2.1.4 排查MySQL数据库异常

MySQL UDF（用户定义函数）是一种允许用户编写自定义函数并将其加载到 MySQL 服务器中的功能。在特定情况下，恶意用户可能滥用 UDF 功能以获取提权或执行未经授权的操作。要进行MySQL UDF入侵检测，可以采取以下步骤：

（1）检查 MySQL 日志

查看 MySQL 的日志文件，通常位于 MySQL 的数据目录下，具体位置可在mysql的配置文件中查看(windows系统名称:my.ini，linux系统名称：my.cnf)。在日志中搜索与 UDF 或插件相关的错误信息，包括加载、安装或使用 UDF 的问题。

（2）检查已安装的 UDF

运行以下 SQL 查询来获取已安装的 UDF 列表


select * from mysql.func;

检查返回的结果是否包含未知或可疑的 UDF。如果存在不明来源的 UDF，可能是一个潜在的后门。

（3）排查mysql 插件目录

运行以下 SQL 查询来获取插件目录


show variables like ‘%plugin_dir%’;

通过排查插件目录寻找可疑文件，如高权限的文件夹和文件、近期创建的可疑文件。

（4）MySQL安全检查

检查用户口令强度

检查 MySQL 的用户和权限设置，确保只有授权的用户能创建UDF函数。

检查MySQL用户的读写权限(secure_file_priv权限)

（5）UDF提权清除

使用 drop function 命令删除恶意UDF函数

删除恶意动态链接库文件

2.2.2 恶意程序分析

通过系统的异常排查定位到恶意程序文件，但仅通过系统层面排查无法确认恶意程序外连信息及操作行为时，则需要使用更为专业的监控工具对恶意程序进一步分析，必要时需要使用反汇编工具对恶意程序进行逆向分析，从而获取恶意程序的操作行为，分析其造成的影响，甚至可以获取到定位攻击者身份的关键信息。

常见分析思路：

静态恶意程序分析

静态恶意程序分析在不主动运行恶意程序代码的情况下查找可能损害系统的文件，使其成为暴露恶意库或打包文件的安全工具。静态恶意程序分析可以发现有关恶意程序性质的线索，例如文件名、哈希、IP 地址、域和文件头数据。可以使用各种工具（例如网络分析器）观察恶意程序。

动态恶意程序分析

动态恶意程序分析使用沙盒，沙盒是一个安全、隔离的虚拟环境，您可以在其中运行可疑的危险代码。安全专业人员可以密切监视沙箱中的恶意程序，而不必担心感染系统或网络的其余部分，从而使他们能够收集有关恶意程序的更多信息。

混合恶意程序分析

混合恶意程序分析结合了静态和动态技术。例如，如果恶意代码对计算机的内存进行更改，则动态分析可以检测到该活动。然后，静态分析可以准确确定进行了哪些更改。

（1）网络行为分析

NetLimiter

通过此工具可监测程序的网络通讯信息，以方便进一步分析。

CurrPorts

通过此工具可显示本地计算机上所有当前打开的TCP/IP和UDP端口的列表。对于列表中的每个端口，还显示打开该端口的进程的信息，包括进程名称、进程的完整路径、进程的版本信息（产品名称、文件描述等）、进程的创建时间以及创建该进程的用户。此外，CurrPorts允许你关闭不需要的TCP连接，杀死打开端口的进程，并将TCP/UDP端口信息保存到HTML文件、XML文件或以制表符分隔的文本文件中。

（2）程序行为监控分析

DiffView

此工具可追踪一个程序在你系统上所做的修改或一些操作进行监控

LISTDLLS

“LISTDLLS” 可列出当前运行的 Windows 进程所加载的动态链接库（DLL）信息。这个工具可以在 Windows 操作系统上帮助用户查看正在运行的进程所依赖的 DLL 文件，以及 DLL 的加载地址和状态。

Process Explorer

Process Explorer是Windows操作系统的任务管理器的增强版本。Process Explorer提供了更丰富的功能和更详细的信息，用于管理和监视正在运行的进程、线程、以及系统的资源使用情况。

Process Monitor

Process Monitor用于在Windows操作系统上监控进程、文件系统、注册表和网络活动。它提供了实时的、详细的日志记录，帮助用户深入了解系统中正在发生的操作和活动。特点是可监控进程写入文件，访问网络，注册表写入等细节。

（3）恶意程序逆向分析

使用监控工具对恶意程序网络行为和操作行为监控没有发现时，可使用相关工具对恶意程序进行逆向分析。通过对程序的逆向分析，可从反汇编的程序代码中获取恶意程序的外连信息、操作行为逻辑等，甚至可以获取确认攻击者身份的关键信息。逆向分析需要使用反编译工具，如IDA Pro、x64dbg等，Linux平台可使用objdump。