应急响应一:基本流程技能

最新推荐文章于 2024-06-12 10:23:54 发布
最新推荐文章于 2024-06-12 10:23:54 发布
阅读量2.9k 收藏
点赞数
分类专栏: 应急响应 文章标签: linux 运维 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43145589/article/details/121637021
版权

本篇目的是为了复习应急响应基本流程技能,将从Windows和Linux展开,方式可能不全面,只是记录了自己用的。

1.Windows

1.1系统信息查看

  • msinfo32
    可以查看系统软硬件、组件资源信息
    在这里插入图片描述

  • systeminfo
    比如系统创建时间、补丁情况等等,毕竟方便
    在这里插入图片描述
    1.2账户信息查看

  • net user
    但是这里无法查看到影子账户、隐藏账户等
    在这里插入图片描述

  • lusrmgr.msc
    这里可以查看隐藏账户
    在这里插入图片描述

  • 查看注册表SAM-比对值 可以看影子账户
    regdite打开注册表,按照下图路径查看,将administrator的值与所有Names下的账户比对,重复的即为影子账户
    在这里插入图片描述
    1.3进程查看

  • taskmgr 图形化任务管理器查看进程

  • ?DOS命令行查看

  • 火绒剑等工具查看
    在这里插入图片描述
    1.4网络连接查看

  • netstat -ano|findStr “ESTABLISHED” 查看已建立连接的网络连接
    在这里插入图片描述

  • tasklist | finstr PID 根据后边的连接PID找程序名,查了程序名后怎么找程序位置呢?
    在这里插入图片描述
    1.5服务查看

  • services.msc 图形化界面查看服务列表
    在这里插入图片描述

  • 命令行?

1.6启动项和任务计划查看

  • 启动项 msconfig系统配置里边和taskmgr任务管理器可以看

在这里插入图片描述

  • 任务计划 compmgmt.msc可以看

  • 在这里插入图片描述
    1.7文件痕迹排查

  • 浏览器下载记录、回收站、文件夹文件改动时间、文件属性本身创建时间和改动时间
    在这里插入图片描述

  • Windows -temp 临时文件目录

  • Windows 最近活动文件目录?
    1.8日志查看

  • eventvwr.msc 事件查看器

  • 这里有应用程序、系统、安全日志。重点是安全日志,可以使用攻击logparser工具查看在这里插入图片描述
    重点注意4624、4625等事件ID,另外对于登录事件类型要有印象:
    在这里插入图片描述
    1.9内存分析不咋会
    1.10流量分析

  • wireshark
    ip.addrip 查看此IP记录
    ip.src    IP 查看源IP记录
    http或者DNS 等协议名字 就只显示此类协议的流量包
    http contains “wvs”查看有wvs特征的包

2.Linux

2.1查看系统信息

  • uname -a
  • cat /etc/proc
  • cat /etc/os-release
    在这里插入图片描述

2.2账户信息查看

  • cat /etc/passwd
    在这里插入图片描述

查看uid=0也就是具有root权限的账户
awk -F ‘{if$3==0print$1}’ /etc/passwd
在这里插入图片描述

2.3进程查看
ps -ef
2.4服务查看
systemctl --list-unit=services

2.5网络连接查看
netstat -antlp|more
ls -alt /proc/PID
kill -9 PID

2.6文件痕迹、历史命令痕迹
敏感目录tmp find /tmp -perm 777
2.7日志分析
/var/log

S.wa
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
某大厂应急响应事件标准处理流程
01-30
某大厂应急响应事件标准处理流程 本文档旨在介绍某大厂应急响应事件标准处理流程,涵盖了 WEB 类安全事件和系统恶意程序事件的处理过程。下面将详细介绍每个阶段的处理流程和相关知识点。 事件确认阶段: 在事件...
应急响应流程-包括具体操作
05-18
应急响应工作主要包括两个方面:一是未雨绸缪,即在事件发生前先做好准备;二是亡羊补牢,即在事件发生后采取的响应措施。事前的计划和准备可为事件发生后的响应动作提供指导框架,否则,响应动作很可能陷入混乱,...
应急响应的方法和能力02
战神/calmness的博客
02-09 1832
网络安全事件时有发生,其中重大、特别重大的网络安全事件也随时有可能发生。因此,我们必须做好应急准备工作,建立快速、有效的现代化应急协同机制,确保一旦发生网络安全事件,能够快速根据相关信息,进行组织研判,迅速指挥调度相关部门执行应急方案,做好应对,避免造成重大影响和重大损失。机构、企业网络安全应急响应应具备以下能力。 1)数据采集、存储和检索能力 (1)能对全流量数据协议进行还原; (2)能对还原的数据进行存储; (3)能对存储的数据快速检索。 2)事件发现能力 (1)能发现高级可持续威胁(Adv
应急响应技能
Scorpio_m7
06-02 1952
文章目录01-应急响应基础技能及常见工具使用01-应急响应概述01-应急类型02-应急方法论03-应急响应阶段04-应急排查点/应对方案02-windows应急响应01-系统信息-基本信息02-系统信息-用户信息03-系统信息-启动项04-计划任务05-文件痕迹排查06-进程排查07-日志分析03- Linux应急响应04- 常用工具05-总结 01-应急响应基础技能及常见工具使用 01-应急响应概述 01-应急类型 勒索 挖矿 网站被黑 APT攻击 非法劫持 数据泄露 钓鱼邮件 02-应急方法论 [外
网络安全应急响应-基础技能
Bnessy
03-28 6401
网络安全应急响应专题文章: 1. 网络安全应急响应-日志分析技术 2. 网络安全应急响应-流量分析技术 3. 网络安全应急响应-恶意代码分析技术 4. 网络安全应急响应-终端检测与响应技术 5. 网络安全应急响应-电子数据取证技术 6. 网络安全应急响应-常用工具 7. 网络安全应急响应-基础技能 系统排查 一 、系统基本信息 1. Windows系统 系统信息工具 使用命令“msinfo32”,打开系统信息窗口,可以查看本地计算机硬件资源、组件和软件环境,其中包含正在运行的任务、服务、系统驱动程序、加
应急响应的整体思路和基本流程
weixin_42109829的博客
09-24 2234
https://www.secrss.com/articles/7374
应急响应
frinck的博客
09-24 735
1️⃣简介???????? 标准:GB/T 24363-2009,GB/T 20988-2007 ,GB/Z 20985-2009 ,GB/Z 20986-2007 信息安全应急响应计划规范 ⚪️信息安全事件 由于自然或者人为以及软硬件本身缺陷或故障的原因,对信息系统造成危害,或在信息系统内发生对社会造成负面影响的事件。 ⚪️ 应急响应 组织为了应对突发/重大信息安全事件的发生所做的准备,以及在事件发生后所...
应急响应第一篇之基础篇
千寻的博客
08-29 1511
文章目录0x01 基本流程基本原则一、什么是应急响应二、应急响应的两个方面三、应急响应基本流程四、应急响应的原则0x02技能和工具的简介一、常用工具-webshell工具--Process hacker工具-火绒剑工具-LastActivity view工具---Autoruns工具---evtxLogparser工具---everything免责声明 0x01 基本流程基本原则 一、什么是应急响应 应急响应”对应的英文是" ncident Response”或 Emergency Response
企业如何建立网络事件应急响应团队?
网络安全知识分享
04-25 1373
事件响应团队是一个专门小组,负责准备、检测和响应网络安全事件。他们评估威胁、减轻损失并帮助恢复,确保组织抵御网络攻击的能力。他们的重点是维护安全并最大限度地减少网络攻击的影响。
网络安全应急响应最全教程(2023年7月)
qq1140037586的博客
06-26 4867
1、概念及应急响应流程 应急响应流程是一种在突发事件发生时组织和协调资源、快速响应并减轻损失的计划。一个有效的应急响应流程可以帮助组织提高应对风险的能力,保障人员安全和财产
Linux 应急响应流程及实战演练.docx
06-10
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络...针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 Linux 服务器入侵排查的思路。
Linux应急响应流程及实战演练
02-03
Linux应急响应流程及实战演练,有需要的可以仔细阅读,里面的流程很详细,很不错!
应急响应服务流程与操作规范.docx
04-29
应急响应服务流程与操作规范
解决 Linux 和 Java 1.8 中上传中文名称图片报错问题
最新发布
appearappear的博客
06-12 272
在 Linux 系统和 Java 1.8 中,当尝试上传含有中文名称的图片时,可能会遇到以下错误提示:为了解决这个问题,可以采取以下方法:在 Docker 的 中添加如下参数:Dockerfile使用以下命令启动 Java 程序,添加 参数:通过以上配置,确保了在启动 Java 程序时,使用了 UTF-8 编码,这样可以正确处理含有中文名称的文件,避免了报错问题的发生。3.5
Linux基础命令
威桑的博客
06-11 1190
常见基础Linux命令
【Linux下的动态链接和静态链接 及 调用libevent库函数的可执行文件无法正常运行情况剖析】
一起学习进步!
06-09 340
静态链接是指在编译时,将程序所依赖的函数或数据直接复制到最终的可执行文件中。这意味着可执行文件包含了程序运行所需的所有代码和数据。动态链接是指在运行时,程序所依赖的函数或数据从外部的共享库(shared library)中加载。这意味着可执行文件只包含了必要的引用信息,而实际的代码和数据则存储在外部的共享库中。
NVIDIA Jetson Linux 35.3.1-开发指南-Jetson软件架构
FREEDOM_X的专栏
06-11 773
下图显示了NVIDIA®Jetson™Linux架构。以下部分描述了每个模块的组件。在本开发人员指南或其他地方,许多组件的名称是指向组件主留档的链接。一些组件具有带有附加描述的单独链接。
MySQl基础----Linux下搭建mysql软件及登录和基本使用(附实操图超简单一看就会)
溟洵的博客
06-10 793
本章非常基础包括如何在Linux上搭建(==当然上面的SQL语句你在其他能执行SQL语句的软件上也能正常执行,并非一定要在Linux环境下==)和mysql的基本使用
windows应急响应流程
05-31
Windows 应急响应(Windows Incident Response)流程是指对 Windows 操作系统上的安全事件进行响应和处置的过程。以下是一般的 Windows 应急响应流程: 1. 确认安全事件:通过安全监控系统(如 IDS、防火墙、日志...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值