应急响应
文章平均质量分 95
应急响应
Bnessy
别人质疑你没关系,你不能质疑你自己。你自己觉得可以,那你一定就可以。还是那句话,信就有,信自己,不是信别人,不是说别人说你不行你就不行了。
展开
-
网络安全应急响应-基础技能
网络安全应急响应专题文章:1. 网络安全应急响应-日志分析技术2. 网络安全应急响应-流量分析技术3. 网络安全应急响应-恶意代码分析技术4. 网络安全应急响应-终端检测与响应技术5. 网络安全应急响应-电子数据取证技术6. 网络安全应急响应-常用工具7. 网络安全应急响应-基础技能系统排查一 、系统基本信息1. Windows系统系统信息工具使用命令“msinfo32”,打开系统信息窗口,可以查看本地计算机硬件资源、组件和软件环境,其中包含正在运行的任务、服务、系统驱动程序、加原创 2022-03-28 11:24:58 · 6424 阅读 · 0 评论 -
网络安全应急响应-常用工具
1. Sysinternals SuiteSysinternals Suite是微软发布的一套非常强大的免费工具程序集。下载链接:https://docs.microsoft.com/zh-cn/sysinternals/downloads/sysinternals-suite其中包含:AccessChk为了确保创建安全的环境,Windows 管理员通常需要了解特定用户或用户组对文件、目录、注册表项和 Windows 服务等资源具有哪种访问权限。AccessChk 能够通过直观的界面和输出快速回原创 2022-03-27 19:55:02 · 8966 阅读 · 0 评论 -
网络安全应急响应-电子数据取证技术
电子数据取证技术1. 易失性信息的提取易失性是指数据保存的环境如果不能满足某种条件,就确定会丢失,例如保存在DRAM中的数据是易失的,因为只要DRAM的电源被切断,其中所保存的数据就会丢失。易失性数据一般通过命令行方式提取,可减少对其他易失性数据的破坏,也可以通过专业的设备或工具提取,如Sysinternals等工具。在Sysinternals工具下可以提取大量的信息:Bginfo:计算机软、硬件信息,包括CPU主频、网络信息、操作系统版本、IP地址、硬盘信息等。PsloggedOn:本地登录的原创 2022-03-27 15:20:15 · 5505 阅读 · 0 评论 -
网络安全应急响应-终端检测与响应技术
一 、Linux终端检测1. 排查网络连接及进程使用"netstat -antp",分析可疑的端口、IP、PID及程序进程。针对服务器,可能有大量的本机80、8080、442、1433、3306、1521、22等端口连接远程IP的随机端口。或者本机随机端口连接远程IP地址的80端口,可能在进行Web访问。重点排查本机的随机端口连接互联网IP的非正常端口。使用"ps aux | grep 进程名称或ID",可查看进程信息。排查隐藏进程,可以使用如下命令:ps -ef | awk '{print原创 2022-03-25 19:40:09 · 6211 阅读 · 0 评论 -
网络安全应急响应-恶意代码分析技术
一 、恶意代码概述1. 恶意代码简述恶意代码(Malicious Code)或恶意软件是指没有作用却会带来危险的代码,一个最广泛的定义是把所有不必要的代码都看作是恶意的,不必要的代码比恶意代码具有更宽泛的含义,包括所有可能与某个组织安全策略相冲突的软件。2. 病毒病毒是一段自我复制的代码,它将自己依附到其他的程序上,进行传播时经常需要人的参与,主要特点:一般不能作为独立的可执行程序运行。可自我复制。携带有害的或恶性的动作,能够破坏数据信息。病毒的感染病毒的感染机制和目标包括感染可执行原创 2022-03-25 17:14:49 · 4654 阅读 · 0 评论 -
网络安全应急响应-流量分析技术
Wireshark全流量分析1. 时间设置在Wireshark中看到的时间默认为Seconds Since Beginning of Capture,即时间戳为秒格式,从捕捉开始计时,以后的时间是距离第一个捕获包的时间间隔。日期和时间(1970-01-01 01:02:03.123456):显示日期和每天的时间-时间格式(年月日,时分秒)。时间(01:02:03.123456):只显示时间-日期格式(时分秒格式)。自1970-01-01经过的秒数:格式为1234567890.123456,时间原创 2022-03-24 19:35:41 · 4134 阅读 · 0 评论 -
网络安全应急响应-日志分析技术
Web日志分析一 、HTTP基础1. HTTP报文格式解析HTTP请求报文HTTP请求包括3部分,分别是请求行、请求头和请求正文。Windows NT 10.0表示操作系统内核版本号,Windows XP内核号是NT 5.1或NT 5.2(64位操作系统),Windows Vista的内核版本号是NT 6.0,Windows 7的内核版本号是NT 6.1,Windows 8的内核版本号是NT 6.2,Windows 10的内核版本号是NT 10.0。rv:98.0是Firefox浏览器的软件原创 2022-03-24 12:54:23 · 6093 阅读 · 0 评论