常见的应急响应事件分类:
web入侵:网页挂马、主页篡改、Webshell
系统入侵:病毒木马、勒索软件、远控后门
网络攻击:ddos、DNS劫持、ARP欺骗
工具
windows
进程:process explorer
这是一款由Sysinternals开发的Windows系统和应用程序监视工具,目前Sysinternals已经被微软收购,此款不仅结合了文件监视和注册表监视两个工具的功能,还增加了多项重要的增强功能,此工具支持64位Windows系统,下面介绍一下Process Explorer在开发过程中的用处。
增强版的任务管理器。
自启动;autoruns
当服务器被攻击后,基本都会留下后门,木马程序等,维护人员就需要找到他们并清除。 而对于木马后门,都需要有一个加载选项,例如直接以程序文件的形式运行,插入其他进程中运行,以服务的形式加载,以activex控件形式加载等。
用于管理开机项目组。
端口:tcpview
TCPView是一个查看端口和线程的小工具,只要