应急响应

Posted threesoil

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了应急响应相关的知识,希望对你有一定的参考价值。

常见工具

系统启动相关

 Autoruns/ msconfig /ent

系统进程分析监控

Process explorer /Process Monitor / tasklist 

端口网络状态

tcpview /Currports /netstat

综合安全检测(ARK)

Wsyscheck / Power Tool /PCHunter / WIN64AST


 

touch指令的介绍

touch修改时间

touch不仅可以创建文件,还可以对其进行时间的一些修改

格式:touch 参数 文件名

参数:

-a:或–time=atime或–time=access或–time=use

-c:或–no-creat,如果棉花地文件不存在,也不创建任何文档

-d:使用指定的日期时间,可以使用不同的格式

-m:或–time=mtime或–time=modify,改变修改时间

-r:把指定的文件日期更设成和参考文档或目录日期相同的时间

-t:使用指定的日期时间,格式与date指令相同

显示所有的文件包含隐藏文件的详细信息 并按生成时间从早到晚排序         ls    -alt

查看文件修改时间

stat 文件名 


日志分析   Splunk商业化大数据分析平台类似ELK数据存贮转发可视化展现、ELSA

1.  360星图-Web日志分析引擎   (360的软件)

POST 一个php后返回相应包长度不一样 可能被上传webshell

 

 


 

应急响应时终端:-----------from this line @qinteng  ----------

               离开时: ---------------end the line  ------------------

  • 保护自己,避免责任 操作日志 
  • 不要全信客户说的话,需要自己确认。
  • 拷贝文件分析时需要授权,不要自己删除任何客户文件,让用户自己删除

lls时间是零区的时间,可能分析日志的时候连续操作被错过。


 

木马分析  

沙箱sandbox    在线沙箱   微步 https://x.threatbook.cn/

扫描端口  ftp 445等端口关闭为个人电脑

 

以上是关于应急响应的主要内容,如果未能解决你的问题,请参考以下文章

应急响应第一篇之基础篇

讲清楚,说明白! Linux系统应急响应流程

应急响应和安全运营基础

应急响应和安全运营基础

应急响应排查思路

应急响应介绍