zoukankan      html  css  js  c++  java
  • 应急响应&&取证

    查看日志    eventvwr.exe
     
    中了勒索病毒
    1.查看download目录有没有病毒样本,C:Users86132Downloads
    2.查看系统开放端口
    3.导出systeminfo
    4.导出日志文件 所有的都要导出  wevtutil epl security d:security.evtx 
    5.分析日志文件log parser.exe
        LogParser.exe -i:输入文件格式 -o:输出文件格式 "执行语句">保存到文件
        LogParser.exe -i:evt -o:csv "select * from C:Users86132Desktopsecurity.evtx">C:Users86132Desktopsecurity.csv
     
    日志ID:
    4624(用户登陆成功)
    4768、4776(用户账号验证成功)
     
    从日志文件中筛选出用户登陆成功,账号验证成功的事件(管理员执行)
    wevtutil qe security /q:"Event[System[(EventID=4624 or EventID=4768 or EventID=4776)]]" /f:text /rd:true /c:1 > EvtLogon.dat
     
    查看隐藏账户
    查看是否有shift后门
    查看系统命令是否被替换
    查看是否有ssh后门
    查看是否存在隐藏的进程
    查看是否有计划任务
     
     
    crontab -u root -l    查看root用户的计划任务
    cat /etc/crontab    查看/etc/crontab  (ubuntu的路径)  
    ls -al /etc/cron.*    查看cron文件是否详细变化的信息
    ll /var/spool/cron/    查看/var/spool/cron/   /var/spool/cron/ 这个目录下存放的是每个用户包括root的crontab任务,(centos的路径)
                                     tom建的crontab任务对应的文件就是/var/spool/cron/tom
    检查系统命令
    ls -alt /bin/ | head -n 10 
    ls -alt /usr/sbin/ | head -n 10
    ls -alt /usr/bin/ | head -n 10
     
    top -c 快速查看进程信息,并获取进程文件位置
    kill -9 PID     强制杀死进程
     
    根据恶意进程,文件特征如:文件名,文件大小,文件创建时间,进行全盘搜索
    grep -rni "shell.name"*    根据文件名特征查找
    find / -size 122311c    根据文件大小特征查找
    find / -mtime 1 -name *    根据文件创建时间查找
    cd /proc/PID    进入到进程
    cat * |string -n 5 |more    读取该进程内存中的信息
    lsof -p PID    查看进程占用信息
    lsof -i:5000    查看5000端口的占用情况
    netstat -nap    查看不正常端口
    lsof -n |grep delete    查找已经删除但是还在使用的文件
  • 相关阅读:
    软工实践2019——第二次作业评分
    预培训-个人项
    预培训-阅读-快速阅读并提问
    nodejs异常处理过程/获取nodejs异常类型/写一个eggjs异常处理中间件
    写一个eggjs权限验证中间件
    eggjs的参数校验模块egg-validate的使用和进一步定制化升级
    个人作业——软件工程实践总结作业
    python性能分析(一)——使用timeit给你的程序打个表吧
    软工实践(五)——获小黄衫有感
    团队作业第二次—项目选题(追光的人)
  • 原文地址:https://www.cnblogs.com/kunspace/p/10591465.html
Copyright © 2011-2022 走看看