应急响应
Posted threesoil
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了应急响应相关的知识,希望对你有一定的参考价值。
常见工具
系统启动相关
Autoruns/ msconfig /ent
系统进程分析监控
Process explorer /Process Monitor / tasklist
端口网络状态
tcpview /Currports /netstat
综合安全检测(ARK)
Wsyscheck / Power Tool /PCHunter / WIN64AST
touch指令的介绍
touch修改时间
touch不仅可以创建文件,还可以对其进行时间的一些修改
格式:touch 参数 文件名
参数:
-a:或–time=atime或–time=access或–time=use
-c:或–no-creat,如果棉花地文件不存在,也不创建任何文档
-d:使用指定的日期时间,可以使用不同的格式
-m:或–time=mtime或–time=modify,改变修改时间
-r:把指定的文件日期更设成和参考文档或目录日期相同的时间
-t:使用指定的日期时间,格式与date指令相同
显示所有的文件包含隐藏文件的详细信息 并按生成时间从早到晚排序 ls -alt
查看文件修改时间
stat 文件名
日志分析 Splunk商业化大数据分析平台类似ELK数据存贮转发可视化展现、ELSA
1. 360星图-Web日志分析引擎 (360的软件)
POST 一个php后返回相应包长度不一样 可能被上传webshell
应急响应时终端:-----------from this line @qinteng ----------
离开时: ---------------end the line ------------------
- 保护自己,避免责任 操作日志
- 不要全信客户说的话,需要自己确认。
- 拷贝文件分析时需要授权,不要自己删除任何客户文件,让用户自己删除
lls时间是零区的时间,可能分析日志的时候连续操作被错过。
木马分析
沙箱sandbox 在线沙箱 微步 https://x.threatbook.cn/
扫描端口 ftp 445等端口关闭为个人电脑
以上是关于应急响应的主要内容,如果未能解决你的问题,请参考以下文章