应急响应基础知识和命令

  1. Linux
  2. Windows

最近在开始学习应急响应的相关知识,接触到了很多,比方说白加黑啊、几个APT组织啊,流量分析、天眼分析等等,其实还没有实际接触过应急响应,这里就先做个最基础的笔记,等会让我想想整体的框架是啥。

好了知道怎么写了,大概就这么写吧,这里不详细记录应急的过程,记录下一些基础的命令、工具和词汇。

应急一般会有:勒索病毒、挖矿木马、DDoS、APT攻击等。

不过主要的还是勒索和挖矿两种。

Linux

文件分析命令:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
#查看tmp目录下的文件
ls –alt /tmp/

#查看开机启动项
ls -alt /etc/init.d/

#按时间排序查看指定目录下的文件
ls -alt | head -n 10

#查看文件创建修改时间信息
stat

#查看历史命令记录文件
cat /root/.bash_history | more

#查看操作系统用户信息文件/etc/passwd
cat /etc/passwd

#查找24小时内被修改的php文件
find ./ -mtime 0 -name "*.php"

#查找72小时内新增的文件
find / -ctime 2

#查找777的权限的jsp文件
find / *.jpg -perm 4777

#查看当前的任务计划有哪些
crontab -l

#查看etc目录任务计划相关文件
ls /etc/cron*

进程分析命令:

1
2
3
4
5
#查看本机网络连接情况
netstat -antlp | more

#根据netstat定位出pid,使用ps命令分析进程
ps aux | grep pid | grep -v grep

日志分析命令:

1
2
3
4
5
6
7
8
#查看系统中所有用户最近一次登陆信息
lastlog

#显示用户错误的登陆列表
lastb

#显示用户最近登陆信息(数据源为/var/log/wtmp、/var/log/btmp)
last

Windows

【开始】->【运行】

1
2
3
4
msconfig	//查看开机启动项
%UserProfile%\Recent //Recent最近打开的文件夹
compmgmt.msc //计算机管理
eventvwr //事件管理器

CMD命令:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
#查看当前网络连接
netstat -aon
netstat -aon | findstr ESTABLISHED

#根据netstat定位pid,根据pid定位进程
tasklist | findstr 1228

#根据wmic process获取进程的全部路径
wmic process | findstr "xxxx.exe"

#查看用户信息
net user username

#查看当前系统用户对话
query user

#踢出用户
logoff

#查看系统版本及补丁信息
systeminfo

系统信息排查:
1、查看环境变量
2、查看Windows计划
3、查看账号信息,如隐藏用户等;

排查工具:
1、PC Hunter
2、ProcessExplorer
3、Microsoft Network Monitor


转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。可以在下面评论区评论,也可以邮件至 sher10cksec@foxmail.com

文章标题:应急响应基础知识和命令

本文作者:sher10ck

发布时间:2020-03-24, 17:42:22

最后更新:2020-03-26, 14:32:49

原始链接:http://sherlocz.github.io/2020/03/24/应急响应基础知识和命令/

版权声明: "署名-非商用-相同方式共享 4.0" 转载请保留原文链接及作者。

目录