应急响应
关注
分享
扫一扫
文章平均质量分 53
tlucky1
记录
展开
-
天眼搜索语法
TCP:(sip:受害IP AND dip:解析结果IP)OR (sip:解析结果IP AND dip:受害IP)http:host:“xxx.xxx.xx” AND (sip:受害IP OR dip:受害IP)host:“xxx.xxx.xxx” AND dns_type:1 AND dip:“受害IP”源IP——本地域名服务器IP,其他域名服务器IP——dnsIP。dip:本地域名服务器IP,其他域名服务器。sip:本地域名服务器IP,其他域名服务器。dip:受害IP,本地域名服务器IP。原创 2023-03-01 16:04:58 · 2997 阅读 · 0 评论 -
勒索病毒分析
1.观察情况,判定是否真的中了病毒当你发现电脑中出现以下不正常情况时,很遗憾,你的电脑已经中了勒索病毒尝试打开记事本,无法打开,或打开后是乱码,能够确定已经中了勒索病毒通过桌面背景或特殊文件发现加密关键字ENCRYPTED BY GANDCRAB 5.0.3等关键字2.了解该类勒索病毒通常各大安全厂商有勒索病毒专区,如国际厂商kaspersky、bitdefender、avast、symantec,国内厂商Sangfor、360等如Avast的https://www.avast.co原创 2022-04-12 18:53:37 · 1070 阅读 · 0 评论 -
安全常见问题1
1.入侵排查思路①文件分析文件日期,新增的文件,可疑/异常文件、最近使用文件,浏览器下载文件webshell排查与分析核心应用关联目录文件分析②进程分析当前活动进程、远程连接启动计划、计划任务进程分析工具有windows:pchunterlinux:chkroothit&Rhunter③系统信息环境变量账号信息history系统配置文件④日志分析操作系统日志windows:事件查看器(eventvwr)linux:/var/log/应用日志分析access.原创 2022-04-12 22:19:18 · 1116 阅读 · 0 评论 -
告警分析~
告警分析是安全保障中很重要的一步,在监控告警时,分析告警可以发现一些攻击,并及时阻止原创 2022-04-16 22:15:27 · 1053 阅读 · 0 评论 -
告警分析、应急响应流程
1.威胁情报类告警分析流程1.确认事件的真实性2.查询IOC的情报信息——IOC的时效性、相关的情报信息等3.定位受害ip,确定攻击ip是在内网还是外网4.排除误报,排除因内部人员操作引起的误报5.关联分析——定位被扩散的资产,攻击源是否进行了横向渗透,进行了哪些相关的操作,造成了何种后果6.溯源分析把时间向前推进5-10分钟,是攻击者首次攻击的时间,分析攻击者是以哪种漏洞进行攻击的,什么方式,何种手段攻击进来的,我们要以何种方式去解决7.提出处置建议+出报告2.应急响应流程应急响应流程原创 2022-04-16 22:19:22 · 3708 阅读 · 0 评论 -
挖矿病毒处置
1.登录系统,右击任务栏,查看任务管理器点击发现CPU占用满了,按CPU对进程排序结束CPU占用高的进程可以观察到 结束后,进程会重新自启动。确定有父进程。转到进程详细信息看到进程名为xmrig.exe找父进程直接使用wmic工具打开命令行wmic process where name=‘xmrig.exe’ get caption,parentprocessid找到父进程ID将任务管理器按PID排序,找到父进程,查找到系统服务停用服务......原创 2022-04-18 18:05:47 · 1183 阅读 · 0 评论 -
应急响应-分析(windows)
恶意代码在windows系统中运行过程中,将以进程的方式进行展示,其中恶意进程进行着各种恶意行为,对于可执行程序,可以直接使用杀毒软件进行查杀,但是并非所有的恶意进程都能够被查杀,此时可以手动查杀,使用工具psexplore,然后利用virustotal.com进行分析,对恶意相关的服务进行关闭。如果修改时间要早于创建时间那么这个文件存在很大可疑,使用中国菜刀等工具修改的,修改时间通过文件属性可以查到创建时间,修改时间,访问时间。右击文件,属性,查看文件创建时间、修改时间、访问时间。......原创 2022-07-20 10:26:00 · 881 阅读 · 0 评论