一、操作系统(windows,linux):
- 1.常见危害:暴力破解,漏洞利用,流量攻击,木马控制(Webshell,PC 木马等),病毒感染(挖矿,蠕虫,勒索等)。
暴力破解:针对系统有包括rdp、ssh、telnet等,针对服务有包括mysql、ftp等,一般可以通过超级弱口令工具、hydra进行爆破
漏洞利用:通过系统、服务的漏洞进行攻击,如永恒之蓝等
流量攻击:主要是对目标机器进行dos攻击,从而导致服务器瘫痪
木马控制:主要分为webshell和PC木马,webshell是存在于网站应用中的,而PC木马是进入系统进行植入的。目的是对系统进行持久控制。
病毒感染:主要分挖矿病毒、蠕虫病毒、勒索病毒等,对目标文件或目录进行加密,用户需要支付酬金给黑客
- 2.常见分析:计算机账户,端口,进程,网络,启动,服务,任务,文件等安全问题
账户:账户异常、账户增加,看攻击者是否留有后门账户
端口:异常端口开放,看是否与外部地址的某个端口建立了连接
进程:异常进程加载,看是否存在异常进程执行(排除系统正常进程)
网络:网络连接异常,看是否对局域网内其他IP地址进行请求(横向)或自身网络异常
启动:异常程序开机自启动,看是否存在开机自启动的程序,排查是否为恶意程序
服务:异常服务添加、启动,看机器上是否存在异常服务(排除系统正常服务)
任务:异常定时任务执行,看机器上是否存在定时任务
文件:异常文件,看机器上是否存在异常文件,如后门、病毒、木马等
- 3.病毒分析
PCHunter: http://www.xuetr.com
火绒剑: https://www.huorong.cn
processhacker:https://processhacker.sourceforge.io/downloads.php
autoruns: https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns
OTL: https://www.bleepingcomputer.com/download/otl/
SysInspector: http://download