应急响应基础知识和命令
最近在开始学习应急响应的相关知识,接触到了很多,比方说白加黑啊、几个APT组织啊,流量分析、天眼分析等等,其实还没有实际接触过应急响应,这里就先做个最基础的笔记,等会让我想想整体的框架是啥。
好了知道怎么写了,大概就这么写吧,这里不详细记录应急的过程,记录下一些基础的命令、工具和词汇。
应急一般会有:勒索病毒、挖矿木马、DDoS、APT攻击等。
不过主要的还是勒索和挖矿两种。
Linux
文件分析命令:1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32#查看tmp目录下的文件
ls –alt /tmp/
#查看开机启动项
ls -alt /etc/init.d/
#按时间排序查看指定目录下的文件
ls -alt | head -n 10
#查看文件创建修改时间信息
stat
#查看历史命令记录文件
cat /root/.bash_history | more
#查看操作系统用户信息文件/etc/passwd
cat /etc/passwd
#查找24小时内被修改的php文件
find ./ -mtime 0 -name "*.php"
#查找72小时内新增的文件
find / -ctime 2
#查找777的权限的jsp文件
find / *.jpg -perm 4777
#查看当前的任务计划有哪些
crontab -l
#查看etc目录任务计划相关文件
ls /etc/cron*
进程分析命令:1
2
3
4
5#查看本机网络连接情况
netstat -antlp | more
#根据netstat定位出pid,使用ps命令分析进程
ps aux | grep pid | grep -v grep
日志分析命令:1
2
3
4
5
6
7
8#查看系统中所有用户最近一次登陆信息
lastlog
#显示用户错误的登陆列表
lastb
#显示用户最近登陆信息(数据源为/var/log/wtmp、/var/log/btmp)
last
Windows
【开始】->【运行】1
2
3
4msconfig //查看开机启动项
%UserProfile%\Recent //Recent最近打开的文件夹
compmgmt.msc //计算机管理
eventvwr //事件管理器
CMD命令:1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21#查看当前网络连接
netstat -aon
netstat -aon | findstr ESTABLISHED
#根据netstat定位pid,根据pid定位进程
tasklist | findstr 1228
#根据wmic process获取进程的全部路径
wmic process | findstr "xxxx.exe"
#查看用户信息
net user username
#查看当前系统用户对话
query user
#踢出用户
logoff
#查看系统版本及补丁信息
systeminfo
系统信息排查:
1、查看环境变量
2、查看Windows计划
3、查看账号信息,如隐藏用户等;
排查工具:
1、PC Hunter
2、ProcessExplorer
3、Microsoft Network Monitor
转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。可以在下面评论区评论,也可以邮件至 sher10cksec@foxmail.com
文章标题:应急响应基础知识和命令
本文作者:sher10ck
发布时间:2020-03-24, 17:42:22
最后更新:2020-03-26, 14:32:49
原始链接:http://sherlocz.github.io/2020/03/24/应急响应基础知识和命令/版权声明: "署名-非商用-相同方式共享 4.0" 转载请保留原文链接及作者。