1.入侵排查思路
①文件分析
文件日期,新增的文件,可疑/异常文件、最近使用文件,浏览器下载文件
webshell排查与分析
核心应用关联目录文件分析
②进程分析
当前活动进程、远程连接
启动计划、计划任务
进程分析工具有
windows:pchunter
linux:chkroothit&Rhunter
③系统信息
环境变量
账号信息
history
系统配置文件
④日志分析
操作系统日志
windows:事件查看器(eventvwr)
linux:/var/log/
应用日志分析
access.log
error.log
2.如果查到一个qq号怎么分析攻击者
1.尝试进入其空间获取其更多信息,或者加上他的好友进行社工。
2.利用社工库查询手机号,通过手机号再反查其他平台,如支付宝,阿里云等等。
3.冰蝎连接的特征和原理
冰蝎的通信过程可以分为两个阶段:1、密钥协商2、加密传输
第一阶段-密钥协商
1)攻击者通过 GET 或者 POST 方法,形如 http://127.0.0.1/shell.aspx?pass=645 的请求服务器密钥;
2)服务器使用随机数 MD5 的高16位作为密钥,存储到会话的 $_SESSION 变量中,并返回密钥给攻击者。
第二阶段-加密传输
1)客户端把待执行命令作为输入,利用 AES 算法或 XOR 运算进行加密,并发送至服务端;
2)服务端接受密文后进行 AES 或 XOR 运算解密,执行相应的命令;
3)执行结果通过AES加密后返回给攻击者。
冰蝎特征检测
总结冰蝎在流量交互中的特征,这些特征可分为两类。一类是可绕过特征,这类特征攻击者可通过构造报文进行绕
过,致使设备检测不到冰蝎 webshell 特征。另一类是非可绕过特征,攻击者在某些情景无法更改 HTTP 某些字
段,致使有固定报文字段可供设备检测。使用单个特征误报较高,但多个特征配合使用可降低误报,推荐多个特征
搭配使用,进一步提升特征检测的准确性。
4.windows下系统日志溯源
C:\Windows\System32\winevt\Logs\ *( XP C:\Windows\System32)
应用程序日志 App Event.Evtx(Application.evtx)
安全日志 SecEvent.Evtx
系统日志 SysEvent.Evtx
5.windows有哪些后门及排查
系统工具替换后门
文件隐藏
计划任务
开机启动项
服务
waitfor.exe
bitsadmin后门
WMI后门
COM劫持
meterpreter 权限维持
Empire persistence模块
进程注入
除了以上的几种后门和权限维持技术外还有像是dll劫持、一些软件的插件后门、office后门等
322
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
