收藏~应急响应实战笔记

已于 2024-01-07 15:04:39 修改
阅读量382 收藏 7
点赞数 7
文章标签: 笔记
于 2024-01-04 15:30:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xnxqwzy/article/details/135380716
版权

网络安全应急响应是在特定网络和系统面临或已经遭突然攻击行为时,进行快速应急反应,提出并实施应急方案。

作为一项综合性工作,网络安全应急响应不仅涉及入侵检测、事件诊断、攻击隔离、快速恢复、网络追踪、计算机取证、自动响应等关键技术,对安全管理和安全人也提出更高的要求。

为此,给大家分享一份应急响应实战笔记,共168页6大章,包括入侵排查、日志分析、权限维持、实战等内容,图文并茂,内容详尽,非常适合安全人/爱好者学习参考。

目录

  • 入侵排查篇
  • 日志分析篇
  • 权限维持篇
  • Windows实战篇
  • Linux实战篇
  • Web实战篇

入侵排查篇

  • 第1篇:Window入侵排查
  • 第2篇:Linux入侵排查
  • 第3篇:常见的Webshell查杀工具
  • 第4篇:如何发现隐藏的Webshell后门
  • 第5篇:勒索病毒自救指南

Linux实战篇

  • 第1篇:SSH暴力破解
  • 第2篇:捕捉短连接
  • 第3篇:挖矿病毒
  • 第4篇:盖茨木马
  • 第5篇:DDOS病毒
  • 第6篇:Shell病毒

Web实战篇

  • 第1篇:网站被植入Webshell
  • 第2篇:门罗币恶意挖矿
  • 第3篇:批量挂黑页
  • 第4篇:新闻源网站劫持
  • 第5篇:移动端劫持
  • 第6篇:搜索引擎劫持
  • 第7篇:网站首页被篡改
  • 第8篇:管理员账号被篡改
  • 第9篇:编辑器入侵事件

注:笔记源自网络,仅作免费交流分享,侵删

外链图片转存中…(img-7IX3hE0D-1704335985751)]

注:笔记源自网络,仅作免费交流分享,侵删

最后

从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。

因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。

干货主要有:

①1000+CTF历届题库(主流和经典的应该都有了)

②CTF技术文档(最全中文版)

③项目源码(四五十个有趣且经典的练手项目及源码)

④ CTF大赛、web安全、渗透测试方面的视频(适合小白学习)

⑤ 网络安全学习路线图(告别不入流的学习)

⑥ CTF/渗透测试工具镜像文件大全

⑦ 2023密码学/隐身术/PWN技术手册大全

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

扫码领取

程序员菠萝
关注
  • 7
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
应急响应实战笔记.rar
02-14
应急响应实战笔记,包含入侵排查篇:Windows 入侵排查、Linux 入侵排查、常见的 Webshell 查杀工具、如何发现隐藏的 Webshell 后门、勒索病毒自救指南;日志分析篇:Windows日志分析、Linux日志分析、Web日志分析、...
应急响应实战笔记_2020最新版.pdf
06-24
整体目录结构共六章,分为技巧篇和实战篇。第1~3章为技巧篇,分别对应入侵排查、日志分析和权限维持,第4~6章为实战篇,包含了Windows/Linux各种病毒木马,web入侵事件溯源处理过程。
应急响应实战笔记02日志分析篇(5)
qq_59468567的博客
02-19 1105
在利用SQL注入漏洞的过程中,我们会尝试利用sqlmap的--os-shell参数取得shell,如操作不慎,可能留下一些sqlmap创建的临时表和自定义函数。这个差别在于,不同的数据库连接工具,它在连接数据库初始化的过程中是不同的。通过这样的差别,我们可以简单判断出用户是通过连接数据库的方式。我们来做个简单的测试吧,使用我以前自己开发的弱口令工具来扫一下,字典设置比较小,2个用户,4个密码,共8组。另外,不管你是爆破工具、Navicat for MySQL、还是命令行,登录失败都是一样的记录。
应急响应笔记
weixin_46595570的博客
04-15 1140
黑客病毒千千万,人才工具处处有。 攻击威胁早发现,不留后门要根除。 面对各种各样的安全事件,我们该怎么处理? 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。 对于病毒入侵,黑客攻击等等我们又知道多少? 所以在现实中会时不时出现不同的人,不同的手段攻击我们,这时我们就需要进行应急响应分析。 目录 分析入侵原因-
应急响应实战笔记02日志分析篇(1)
qq_59468567的博客
02-12 1472
Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志。系统日志记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。
应急响应实战笔记,一个安全工程师的自我修养!
05-21 633
当我还在做安服的时候,我的主要工作是渗透测试和应急响应。两年前,我开始着手去整理一些应急响应案例,脱敏保留特定特征的场景,试图以最简单直观的方式去还原一个个应急场景。现在...
应急响应工具集及应急响应实战笔记.zip
08-04
网络安全应急响应工具集及应急响应实战笔记 辅助工具集 进程分析工具集 练手样本集 流量分析工具集 启动项分析工具集 信息收集工具集 专杀工具集 Webshell查杀集 第01章:入侵排查篇 第02章:日志分析篇 第03章:...
应急响应实战笔记.pdf
07-30
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息 系统在短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为...
应急响应实战笔记+linux、windows加固手册(建议收藏@@@)
08-07
应急响应实战笔记+linux、windows加固手册,详细讲述了linux、windows加固方法和应急响应流程,值得收藏
应急响应实战笔记——Web实战篇:⑥ 管理员账号被篡改
最新发布
君逍遥o
04-16 1115
你是某一个网站的管理员,有一天,你的管理员账号admin却登录不了,进入数据库查看,原来管理员账号用户名不存在了,却多了另外一个管理员用户名。不对,不是新增了管理员,而是你的管理员用户名被篡改了。
应急响应实战笔记——权限维持篇:② Windows 权限维持&后门篇
君逍遥o
03-28 780
利用COM劫持技术,最为关键的是dll的实现以及CLSID的选择,通过修改CLSID下的注册表键值,实现对CAccPropServicesClass和MMDeviceEnumerator劫持,而系统很多正常程序启动时需要调用这两个实例。如果攻击者能够控制其中的某一 个目录,并且放一个恶意的DLL文件到这个目录下,这个恶意的DLL便会被进程所加载,从而造成代码执行。管理员在平时运维过程应当保持警惕,掌握一定的入侵排查技巧,及时进行系统补丁更新,定期对服务器安全检查,才能有效地预防后门。
应急响应实战笔记》最新2020版PDF下载
06-22 1243
这是一份关于应急响应笔记,以攻写防,站在数据取证的角度,熟悉各种入侵排查和日志分析技巧;站在安全攻防的角度,了解各种攻击及权限维持技术。站在利益驱动的角度,揭秘各种黑帽灰产手法。本来是...
应急响应实战笔记——Windows实战篇:① FTP暴力破解
君逍遥o
04-07 786
FTP是一个文件传输协议,用户通过FTP可从客户机程序向远程主机上传或下载文件,常用于网站代码维护、日常源码备份等。如果攻击者通过FTP匿名访问或者弱口令获取FTP权限,可直接上传webshell,进一步渗透提权,直至控制整个网站服务器。
应急响应实战笔记——入侵排查篇:⑤ 勒索病毒自救指南
君逍遥o
03-27 1036
经常会有一些小伙伴问:中了勒索病毒,该怎么办,可以解密吗?第一次遇到勒索病毒是在早几年的时候,客户因网站访问异常,进而远程协助进行排查。登录服务器,在站点目录下发现所有的脚本文件及附件后缀名被篡改,每个文件夹下都有一个文件打开后显示勒索提示信息,这便是勒索病毒的特征。出于职业习惯,我打包了部分加密文件样本和勒索病毒提示信息用于留档,就在今天,我又重新上传了样本,至今依然无法解密。作为一个安全工程师,而非一个专业的病毒分析师,我们可以借助各大安全公司的能力,寻找勒索病毒的解密工具。
应急响应实战笔记——日志分析篇:③ Web 日志分析
君逍遥o
03-27 1240
打开网站,访问Xzuser.aspx,确认攻击者通过该页面的进行文件上传了图片木马,同时,发现网站了存在越权访问漏洞,攻击者访问特定URL,无需登录即可进入后台界面。在这里,我们遇到了一个问题:由于设置了代理转发,只记录了代理服务器的ip,并没有记录访问者IP?首先访问图片木马的记录,只找到了一条,由于所有访问日志只记录了代理IP,并不能通过IP来还原攻击路径,这时候,可以利用浏览器指纹来定位。第一种:确定入侵的时间范围,以此为线索,查找这个时间范围内可疑的日志,进一步排查,最终确定攻击者,还原攻击过程。
应急响应实战笔记04Windows实战篇(3)
qq_59468567的博客
03-26 431
​ 勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。自WannaCry勒索病毒在全球爆发之后,各种变种及新型勒索病毒层出不穷。
应急响应实战笔记——Windows实战篇:⑥ 挖矿病毒(二)
君逍遥o
04-07 782
作为一个运维工程师,而非一个专业的病毒分析工程师,遇到了比较复杂的病毒怎么办?别怕,虽然对二进制不熟,但是依靠系统运维的经验,我们可以用自己的方式来解决它。
应急响应实战笔记——Linux实战篇:② 捕捉短连接
君逍遥o
04-10 225
短连接(short connnection)是相对于长连接而言的概念,指的是在数据传送过程中,只在需要发送数据时,才去建立一个连接,数据发送完成后,则断开此连接,即每次连接只完成一项业务的发送。在系统维护中,一般很难去察觉,需要借助网络安全设备或者抓包分析,才能够去发现。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值