win&linux 应急思路 排查要点:判断是否存在周期性出现的异常现象,检查/var/spool/cron/crontabs/ , /etc/cron.*等常用计划任务配置文件。排查要点:关注tcp、udp、icmp等一切网络行为,检查注册表、服务、开机目录、计划任务等一系列常见的持久化点。操作要点:跨地区、运营商进行测试,确定受影响的范围;信息收集分析:收集客户信息和中毒主机信息,包括样本、日志分析、进程分析、启动项分析、样本分析。相关危害:导致搜索引擎告警、微信等app分享告警、首页敏感内容、拖库、内网沦陷等。
MISC -- 尊嘟假嘟(工匠杯初赛真题) 发现里面有代码,类似Java代码,然后浅浅分析,怀疑这个好像是个加密程序(但是好像并不是),把密文复制一下。追踪TCP流,发现完整的java代码,浅浅分析一下,这或许是个解密程序,""里面似乎缺少参数。将Java程序复制到idea(或者其他java编译器),再把密文填入""中,得到flag。先用winhex读一下,发现它是个7z压缩包,里面有一个f_.pcapng流量包文件。接下来就是流量分析了,先用查找分组搜一下flag,发现有好几个线索。下载附件,查看题目,得到一个f文件和描述。
关注
