战神/calmness的博客

1、windows和linux系统的应急响应取证

应急响应处置现场流程 - 日志分析1.Windows系统1）日志概述在Windows系统中，日志文件包括：系统日志、安全性日志及应用程序日志，对于应急响应工程师来说这三类日志需要熟练掌握，其位置如下。在Windows 2000 专业版/Windows XP/Windows Server 2003（注意日志文件的后缀名是evt）：系统中：系统日志的位置为C：\WINDOWS\System32\config\SysEvent.evt；安全性日志的位置为C：\WINDOWS\Syste.

目录Webshell概述Webshell分类JSP型Webshell脚本ASP型Webshell脚本PHP型Webshell脚本Webshell用途1.站长工具2.持续远程控制3.权限提升4.极强的隐蔽性Webshell检测方法1.基于流量的Webshell检测2.基于文件的Webshell检测3.基于日志的Webshell检测Webshell防御方法常规处置方法入侵时间确定Web日志分析漏洞分析漏洞修复常用工具扫.

目录1、描述2、溯源3、结束日常密码泄露分析溯源注明：有兴趣的同学可以去墨者学院上进行学习1、描述一个小军的博客，写了一些比较有趣的信息；通过信息收集的形式，去查询与此有关的信息；相对比较简单。。。2、溯源对目标人物进行分析 搜寻网上所存的信息；显示了一些关于此人的介绍；小军6.14 小红2.14扫描后台信息访问地址爆破用户名 xiaojun 密码 xiaohong02143、结束...

背景某公司组织的一次攻防对抗演习，涉及多家安全厂商联合作战。作为某部门的防守队员的他进行了一次次的事件分析，从中分析过来的异常数据信息。内容某攻击事件攻击时间：2021年l攻击IP:2.1.4.1l常用攻击手法：暴力破解、Fastjson反序列化漏洞攻击、致远OA漏洞攻击、文件上传、弱口令攻击、Java攻击、伪协议攻击、代码上传攻击（1）SOC查看：可以清晰地看到严重等级信息和攻击事件信息；其中源地址2.1.4.1对目的地址1.3.1.1...

网络安全事件时有发生，其中重大、特别重大的网络安全事件也随时有可能发生。因此，我们必须做好应急准备工作，建立快速、有效的现代化应急协同机制，确保一旦发生网络安全事件，能够快速根据相关信息，进行组织研判，迅速指挥调度相关部门执行应急方案，做好应对，避免造成重大影响和重大损失。机构、企业网络安全应急响应应具备以下能力。1）数据采集、存储和检索能力（1）能对全流量数据协议进行还原；（2）能对还原的数据进行存储；（3）能对存储的数据快速检索。2）事件发现能力（1）能发现高级可持续威胁（Adv

应急响应，通常是指一个组织为了应对各种意外事件的发生所做的准备，以及在事件发生后所采取的措施。其目的是减少突发事件造成的损失，包括人民群众的生命、财产损失，国家和企业的经济损失，以及相应的社会不良影响等。应急响应所处理的问题，通常为突发公共事件或突发的重大安全事件。通过执行由政府或组织推出的针对各种突发公共事件而设立的应急方案，使损失降到最低。应急方案是一项复杂而体系化的突发事件处置方案，包括预案管理、应急行动方案、组织管理、信息管理等环节。其相关执行主体包括应急响应相关责任单位、应急响应指挥人员、应急响应

PDCERF方法最早于1987年提出，该方法将应急响应流程分成准备阶段、检测阶段、抑制阶段、根除阶段、恢复阶段、总结阶段。根据应急响应总体策略为每个阶段定义适当的目的，明确响应顺序和过程。但是，PDCERF方法不是安全事件应急响应的唯一方法。在实际应急响应过程中，不一定严格存在这6个阶段，也不一定严格按照这6个阶段的顺序进行。但它是目前适用性较强的应急响应通用方法。准备 —— 检测 —— 抑制 —— 根除 —— 恢复 —— 总结1）准备阶段准备阶段以预防为主。主要工作涉及识别机构、企业的风险..

windows 入侵排查前言当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时，急需第一时间进行处理，使企业的网络信息系统在最短时间内恢复正常工作，进一步查找入侵来源，还原入侵事故过程，同时给出解决方案与防范措施，为企业挽回或减少经济损失。常见的应急响应事件分类：Web 入侵：网页挂马、主页篡改、Webshell系统入侵：病毒木马、勒索软件、远控后门网络攻击：DDOS 攻击、DNS 劫持、ARP 欺骗针对常见的攻击事件，结合工作中应急响应事件分析和解决的方法，总结了一些 Windo

应急响应处置现场流程 - 进程排查进程是计算机中的程序关于某数据集合上的一次运行活动，是系统进行资源分配和调度的基本单位，是操作系统结构的基础。在早期面向进程设计的计算机结构中，进程是程序的基本执行实体；在面向线程设计的计算机结构中，进程是线程的容器。无论是在Windows系统还是Linux系统中，主机在感染恶意程序后，恶意程序都会启动相应的进程，来完成相关的恶意操作，有的恶意进程为了能够不被查杀，还会启动相应的守护进程对恶意进程进行守护。...

在日常工作中遇到更多的是在事件发生后进行的问题排查及溯源。常见网络安全应急响应场景有勒索病毒、挖矿木马、Webshell、网页篡改、DDoS攻击、数据泄露、流量劫持；在现场处置过程中，先要确定事件类型与时间范围，针对不同的事件类型，对事件相关人员进行访谈，了解事件发生的大致情况及涉及的网络、主机等基本信息，制定相关的应急方案和策略。随后对相关的主机进行排查，一般会从系统排查、进程排查、服务排查、文件痕迹排查、日志分析等方面进行，整合相关信息，进行关联推理，最后给出事件结论。排查系统排查：在.

Linux 入侵排查前言当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时，急需第一时间进行处理，使企业的网络信息系统在最短时间内恢复正常工作，进一步查找入侵来源，还原入侵事故过程，同时给出解决方案与防范措施，为企业挽回或减少经济损失。针对常见的攻击事件，结合工作中应急响应事件分析和解决的方法，总结了一些 Linux 服务器入侵排查的思路。一、入侵排查思路账号安全基本使用：1、用户信息文件 /etc/passwdroot:x:0:0:root:/root:/bin/bashac

应急响应处置现场流程 - 文件痕迹排查在应急响应排查的过程中，由于大部分的恶意软件、木马、后门等都会在文件维度上留下痕迹，因此对文件痕迹的排查必不可少。一般，可以从以下几方面对文件痕迹进行排查：（1）对恶意软件常用的敏感路径进行排查；（2）在确定了应急响应事件的时间点后，对时间点前后的文件进行排查；（3）对带有特征的恶意软件进行排查，这些特征包括代码关键字或关键函数、文件权限特征等。1.Windows系统1）敏感目录在Windows系统中，恶意软件常会在以下位置驻留。（1）各

目录前提分析email蜜罐tomcat蜜罐HSE蜜罐epaper蜜罐网络 ID结果附件：前提在以前，蜜罐是用来抓熊的。通过伪装成“食物”引诱熊前来享用，最后猎人再将熊一举拿下。到了今天，蜜罐技术已经成为网络安全中的一种入侵诱饵，目的是引诱黑客前来攻击，并收集黑客相关的证据和信息。随着经济的发展，国家对安全行业的高度重视。黑客 —— 蜜罐 ，为了防止黑客的入侵，企业增加了自己的防护手段，使用蜜罐的产品来混淆黑客视野，从而保证真实的业务系统能够...

应急响应处置现场流程 - 服务排查服务可以理解为运行在后台的进程。这些服务可以在计算机启动时自动启动，也可以暂停和重新启动，而且不显示任何用户界面。服务非常适合在服务器上使用，通常在为了不影响在同一台计算机上工作的其他用户，且需要长时间运行功能时使用。在应急响应排查过程中，服务作为一种运行在后台的进程，是恶意软件常用的驻留方法。目录1.Windows系统2.Linux系统1.Windows系统打开【运行】对话框，输入【services.msc】命令，可打开【服务】窗口，查看所有的