![](https://img-blog.csdnimg.cn/20201014180756780.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
应急响应
Wangcy.
一名知识搬运工。
展开
-
Windows病毒木马自启动查找位置
1.开启启动项2.注册表3.定时任务4.WMI原创 2020-06-15 12:06:02 · 489 阅读 · 0 评论 -
Linux入侵分析
1 可疑文件分析`ls -alt /tmp/` 查看开机启动项内容。`ls -alt /etc/init.d/` 查看指定目录下文件时间的排序。`ls -alt|head -n 10`针对可疑文件,查看创建修改时间、访问时间的详细列表,若修改时间距离事件日期接近,并且线性关联,说明可能被篡改。`find ./ -mtime 0 -name "*.jsp"`最后一次修改发生在距离当前时间n天的jsp后缀文件`find /* -iname "*.jsp*" -perm 4777`原创 2020-06-09 14:54:39 · 447 阅读 · 0 评论 -
应急响应模型
应急响应阶段预备->识别->遏制->消除->恢复->反思各阶段内容预备:监控、加固、制定流程、检验识别:识别攻击者操作、识别恶意主机流量、识别业务变化……遏制:短平快控制风险,准备长期响应:封禁消除:删除恶意软件、重置系统、重置服务恢复:IR提供指导,各团队配合恢复反思:什么事?做得好的?做的不够好?下一次做什么?...原创 2020-06-08 18:32:56 · 555 阅读 · 0 评论