应急响应
文章平均质量分 89
Shanfenglan7
优秀是一种习惯。
展开
-
windows应急响应常见检查点
1.用户账号和组审计1)描述:黑客通常对系统进行入侵后会添加后门账号,所以需要审计用户和组是否有被篡改的痕迹。2)命令:lusrmgr.exe3)检查方法:查看是否有可疑的用户名被创建,检查是否administrators组里有可疑的账户被授权。2.自启动配置审计1)描述:黑客修改自启动配置通常可以在系统启动之后加载黑客自定义脚本。2)命令:msconfig.exe 或 wmic start up list full3)检查方法:检查自启动程序信息,如非常规应用程序则需要定位程序位置,可配原创 2022-02-21 13:02:11 · 3082 阅读 · 1 评论 -
linux进程隐藏与对抗
CATALOG前言实现方法1.命令替换实现方法对抗方法2.Hook系统调用实现方法:对抗方法:3.利用mount命令进行挂载实现方法对抗方法前言这篇文章主要做一个技术点的记录,过去接触比较少,现在对其进行一个小结。实现方法1.命令替换实现方法替换top、ps等命令对抗方法使用stat命令查看文件状态并且使用md5sum命令查看文件hash并将其与正常文件hash进行比较。如果确定被替换,使用正常文件替代坏文件即可。2.Hook系统调用比如说ps这个命令:原理:(1)调用opena原创 2020-11-12 11:34:44 · 100660 阅读 · 5 评论 -
linux应急响应总结
前言分为几个部分来记录一下linux应急响应的一些操作与思路。主机相关1.利用自动化检测程序rookithunter进行检测rookithunter可以自动化检查主机上可能存在的rookit木马文件,与被篡改的命令等,找到被篡改的命令后可以选择删除命令,然后重新安装命令。参考:后门和漏洞在Linux中使用“Rootkit Hunterrootkit后门检查工具RKHunter第一步:下载与安装rookithunter1.通用操作wget https://sourceforge.net/p原创 2020-10-14 17:23:45 · 127207 阅读 · 6 评论