最新要闻
- 女友争吵后高速路上要跳车 宝马男急忙应急车道 现场火药味十足
- 全球速看:不怵清华北大的中南大学:正批量造富
- 巨石强森演《终结者》T800是啥样?AI绘制以假乱真
- 天罡股份4月13日北交所上会:参与20多项行业标准和技术规范制定
- 超导石墨烯一粒用三年!南孚传应纽扣电池5粒只要7.9元
- 环球快资讯丨猩猩被游客扔瓶子砸头后扔回反击 动物园回应被教坏了:网友直呼做的对
- ROG游戏手机7 Pro外观曝光:经典电竞小屏、横向三摄
- 4299元 宏碁XV275K P3显示器上架:4K Mini LED屏、160Hz高刷
- 网友29元坐高铁商务座 薅到零食、盒饭“羊毛”!网友热议
- 【天天快播报】老版本被放弃!Steam将终止对macOS 10.11/10.12系统支持
- 日本人要搞二次元老婆版ChatGPT:感觉AI成人娃娃也快来了
- 环球今日讯!女子突然呼吸困难地铁工作人员为她戴严口罩:网友竟然齐声叫好!
- 生日礼物女生送什么好_女生送这些生日礼物好
- 当前信息:美国男子承认掰断兵马俑手指并偷走 最严只用服刑2年
- 速递!20个环球飞车同时炸场!小刀电动车通过暴力测试:比杂技还好看
- 谷歌亚马逊提供丰厚补偿鼓励离职:悬赏一年薪水
手机
iphone11大小尺寸是多少?苹果iPhone11和iPhone13的区别是什么?
警方通报辅警执法直播中被撞飞:犯罪嫌疑人已投案
- iphone11大小尺寸是多少?苹果iPhone11和iPhone13的区别是什么?
- 警方通报辅警执法直播中被撞飞:犯罪嫌疑人已投案
- 男子被关545天申国赔:获赔18万多 驳回精神抚慰金
- 3天内26名本土感染者,辽宁确诊人数已超安徽
- 广西柳州一男子因纠纷杀害三人后自首
- 洱海坠机4名机组人员被批准为烈士 数千干部群众悼念
家电
全球动态:应急响应基础技能
windows
任务计划列表
1. 计算机管理窗口,选择 系统工具 中 任务计划程序 中的 任务计划程序库选项 可以查看任务计划的名称,状态,触发器等详细信息
2.powershell中输入get-scheduledtask 可以查看当前系统所有任务计划信息
任务路径,名称,状态等详细信息
(资料图片仅供参考)
3.命令行中输入schtasks命令,获取任务计划信息
进程排查
对于windows系统排查中,找到恶意进程的pid,程序路径,还需要找到ppid以及程序加载的DLL
1. 通过任务管理器排查
win+r taskmgr 右键name 添加命令行
2.通过tasklist排查
#tasklist 可以查看 每个进程提供的服务 tasklist /svc #显示每个进程和服务的对应情况#tasklist可以查看每个进程加载了什么模块 tasklist /m#如果确定了某个模块是恶意模块可以查找启动了这个模块的服务的情况 tasklist /m ntdll.dll
3.通过netstat命令进行排查
一般来说都是通过netstat定位出pid后再通过task list定位程序
服务排查
1. service.msc命令打开服务窗口 查看所有服务项 名称,秒速,状态等
文件痕迹排查
通常情况下可以对以下方面对文件痕迹进行排查
1. 恶意软件常用的敏感路径进行排查
2.确定了应急响应时间点后,对时间点前后的文件进行排查
3.对带有特征的恶意软件进行排查,包含代码关键字或关键字函数,文件权限特征等
1.敏感目录
恶意程序一般会在程序中写好投放的路径,临时文件的路径相对统一,一般来说查看临时目录下是否有异常文件.
c:\windwos\tmp
2.预读取文件查看
Prefetch是预读取文件夹,用来存放系统已经访问过的文件的预读取信息,扩展名为pf.自动创建 prefetch文件夹是为了快系统启动进程
文件位置 c:\windows\Prefetch
根据应急响应时间进行查看
1.根据时间点来查看forfiles命令
forfiles /p /m /s /c /d/p Path : D:\xx|xx/m searchmask 默认的searchmask是 *.* 例如 *.rar文件/s forfiels 再子目录中搜索/c command 在每个匹配的文件上运行指定的command,带有空格的命令字符串必须用双引号括起来默认的command是 "cmd /c echo @file"
/d +/-mm/dd/yyyy|dd 对2022/2/12日以后的exe文件暴露出来 forfiels /p c:\ /m *.exe /s /d +2022/2/12 /c "cmd /c echo @path @fdate @ftime " 2>null
2.webshell查找
可以通过D盾等
日志排查
系统日志主要是windows各个组件在运行中产生的各种事件系统中各种驱动程序在运行中出现的重大问题.操作系统的多种组件出现重大问题,应用软件出现重大问题重大问题包括重要数据丢失,错误,以及系统产生的崩溃行为
安全性日志安全日志记录了各种与安全相关的事件.包括登录与退出系统的成功不成功信息对系统中各种重要资源进行操作,例如:系统文件的创建,删除,更改操作
应用程序日志记录了各种应用程序产生的各类事件.系统中sqlserver数据库被暴力破解时,会有相关的记录.包含对应时间相关的详细信息.
事件级别
- 错误:重大问题,包括数据丢失,功能损失,例如服务启动期间无法加载
- 警告:潜在问题,例如 磁盘空间低,记录一个警告
- 信息:程序和服务是否操作成功的事件 例如 网络驱动成功加载
日志被清除相关日志事件ID对应的描述
事件日志服务关闭 1100 信息 安全
事件日志被清除 104 信息 系统
事件日志被清除 1102 信息 安全
linux
查看用户信息
1. 查看系统所有用户信息
cat /etc/passwd
2.分析超级用户权限
awk -F:"{if($3=0)print $1}" /etc/passwd
3.查看可登录账户
cat /etc/passwd | grep /bin/bash
4.查看用户错误的登陆状态
lastb #查看用户错误的登陆列表,错误的登录方法,IP地址,以及时间等等
5.查看所有用户的最后登陆状态
lastlog
6.查看当前用户登录系统状态
who
7.查看空口令账户
awk -F : " length($2)==0 {print $1}" /etc/shadow
启动项
#/etc/ini.d文件时自启动的内容cat /etc/ini.d/rc.local #查看init.d文件夹下的rc.local文件内容cat /etc/rc.local #查看rc.local文件内容ls -alt /etc/init.d #查看init.d文件夹下所有文件的详细信息
任务计划列表
1. crontab -l 命令查看当前的任务计划,指定用户进行查看
crontab -u root -l 查看root用户的任务计划
2.查看etcl下的任务计划文件
linux系统中的任务计划文件以cron开头,利用正则表达式的* 筛选所有以cron开头的文件
ls /etc/cron*
通常还包含任务计划的文件夹,* 代表文件夹下所有文件
/etc/crontab /etc/cron.d/*/etc/cron.daily/* /etc/cron.hourly/*/etc/cron.monthly/* /etc/cron.weekly//etc/anacrontab
进程排查
netstat 查看网络连接
netstat -ano or netstat -pantl#分析可疑端口可疑ip,可疑pid以及程序进程.
根据pid的值利用
#ls -alt /proc/pid命令查看其对应的可执行程序ls -alt /proc/2963
利用lsof -p pid命令查看进程打开的文件
lsof -p 2963 #查看pid为1963进程打开的文件
查杀文件
1. 恶意进程使用kill命令结束kill -9 pid2.使用rm命令删除木马文件rm -rf filename 3.如果root用户无法删除,可能是该文件加上了i属性lsattr filename #查看文件属性chattr -i filename #移除i属性4.如果存在守护进程而无法删除,通过先把进程挂起,查杀守护进程后,再将进程删除
服务排查
1.chkconfig --list
chkconfig --listatd 0:off 1:off 2:on 3:on 4:on 5:off 6:off1单用户模式2无网络连接的多用户命令行模式3.有网络连接的多用户命令行模式4.不可用5.带图形界面的多用户模式6.重新启动
2.service --status-all
查看所有服务的状态
文件痕迹排查
1. 敏感目录
/tmp 和~/.ssh和/etc/ssh的authorized_keys 存放黑客的公钥
2.时间点查找
find命令
find :指定目录下查找文件
-type b/d/c/p/l/f 设备,目录 字符设备 管道 符号链接 普通文件
-mtime -n +n 文件更改时间查找 units:day
-atime -n +n 文件访问时间
-ctime -n +n 创建时间查找
stat命令
stat 命令能够详细查看文件的创建时间,修改时间和访问时间,修改时间距离应急响应时间日期接近,线性关联说明可能被篡改
stat /var/www/html/q.php查看这个文件的相关时间属性
3.对系统命令进行查询 ls 和ps命令等可能会被攻击者篡改
ls -alt /bin #查看命令目录中相关系统命令的修改时间ls -alh /bin # 查看相关文件大小,如果明显i安达,则文件很可能被鹈鹕按
4.linux后门查杀
利用第三方查杀工具chkrootkit,rkhunter等检测rootkit是否被安装到当前系统中.
5.排查suid程序/查找suid程序
find / -type f -perm 04000 -ls -uid 0 2>/dev/null
关键词:
-
全球讯息:ORACLE数据库中ORACLE_SID与INSTANCE_NAME的差异
ORACLE数据库中ORACLE_SID与INSTANCE_NAME在概念和意义上有什么异同呢?下面简单来总结概况一下,很多时...
来源: 全球讯息:ORACLE数据库中ORACLE_SID与INSTANCE_NAME的差异
全球观点:geant4基础操作
全球动态:应急响应基础技能
全球速递!兴业银行上线人民币跨境支付系统债券通直通服务
天天快资讯:【财经分析】宏观经济预期改善支撑英镑兑美元汇率走高
女友争吵后高速路上要跳车 宝马男急忙应急车道 现场火药味十足
全球速看:不怵清华北大的中南大学:正批量造富
巨石强森演《终结者》T800是啥样?AI绘制以假乱真
焦点关注:债市日报:4月6日
天罡股份4月13日北交所上会:参与20多项行业标准和技术规范制定
超导石墨烯一粒用三年!南孚传应纽扣电池5粒只要7.9元
环球快资讯丨猩猩被游客扔瓶子砸头后扔回反击 动物园回应被教坏了:网友直呼做的对
ROG游戏手机7 Pro外观曝光:经典电竞小屏、横向三摄
【焦点热闻】Springboot+HTML5+Layui2.7.6上传文件【请求上传接口出现异常】
4299元 宏碁XV275K P3显示器上架:4K Mini LED屏、160Hz高刷
网友29元坐高铁商务座 薅到零食、盒饭“羊毛”!网友热议
【天天快播报】老版本被放弃!Steam将终止对macOS 10.11/10.12系统支持
日本人要搞二次元老婆版ChatGPT:感觉AI成人娃娃也快来了
环球今日讯!女子突然呼吸困难地铁工作人员为她戴严口罩:网友竟然齐声叫好!
生日礼物女生送什么好_女生送这些生日礼物好
当前热议!在线商城爬虫 带爬取记录 以11TREET 为例
世界消息!AIRIOT赋能水务行业深度转型,打造智慧水务“四化建设”
焦点热议:常用Content-Type汇总
天天简讯:用powershell开发跨平台动态网页
当前信息:美国男子承认掰断兵马俑手指并偷走 最严只用服刑2年
速递!20个环球飞车同时炸场!小刀电动车通过暴力测试:比杂技还好看
谷歌亚马逊提供丰厚补偿鼓励离职:悬赏一年薪水
当前速看:女子看手机下楼梯踩空导致脸着地 经检查脸部多处擦伤
【全球热闻】海尔卖成2022全球第一家电品牌!韩国不愿意了:声称LG才是老大
世界视讯!记录-关于console你不知道的那些事
世界今头条!半天时间写完一个案例,循序渐进的掌握uni-app,使用uni-app完成一个简单项目——新闻列表
焦点速讯:【财经分析】多空因素交织博弈 债市尚无近忧仍有远虑
视点!锂价跌破25万“生死线”,锂矿停产挺价?宜春锂业三巨头澄清,传闻不靠谱!
每日简讯:FIFA国家队排名:国足下降至81位 美加墨世界杯出线有希望
还有谁!比亚迪ATTO 3连续5个月蝉联以色列全系单车销冠
环球热点!网友点赞小米之家:线下免费送父母智能手机使用指南 还教用微信
全球快资讯丨苹果虚拟现实头显设备即将到来!果粉不感兴趣
【天天报资讯】不妙!国内油价预计大涨0.4元/升 4月17日起调整
报道:Mysql LOAD DATA读取客户端任意文件
python中动态导入文件的方法
小程序容器助力企业小程序开放平台打造
每日动态!记录一次小程序中讨厌的拍照上传的优化
世界热讯:开心档之C++ 多态
每日聚焦:为节约开支 英国打算用驳船“装”移民
每日看点!首搭长城Hi4电四驱 哈弗枭龙MAX官图发布:博主直言价格合理必卖爆
大疆Mavic 3 Pro无人机曝光:升级三枚摄镜头 奔着2万元去了
上百人进山挖黄金引网友围观!官方回应:挖的是昆虫 被称“土黄金”
世界即时看!马斯克74岁超模妈妈参观特斯拉上海超级工厂:夸赞制造完美、质量过硬
革命性全彩电子纸问世:媲美最先进纸质印刷品 明年量产上市
即时:图解 SQL 执行顺序,通俗易懂!
网上说低代码的一大堆,JNPF凭什么可以火?
环球报道:不管车贵不贵,十万里程后,此3种零件该换就换,别省钱关乎生命
为蹭车位男子当街换车牌被罚5000:驾照十二分也没了
当前热文:苹果服务器再出故障:iCloud、iMessage崩了
世界今头条!曾传乐视靠《甄嬛传》活着 乐视将推85英寸甄嬛传限量电视
当前快播:徕卡超大杯首次进军海外!小米13 Ultra将全球上市
焦点速递!89元 小米米家电动牙刷T200C发布:Type-C充电 续航25天
当前热文:W1R3S
天天热讯:数位dp
今日看点:kill 进程时遇到的一件有意思的事情
焦点速讯:黑夜传说演员表_传说演员表
全球新动态:比尔·盖茨反击马斯克:暂停AI的发展并不能解决问题
每日报道:比亚迪海龙等4款超跑概念图亮相!你觉得哪款最帅?
环球讯息:长城汽车:一位新能源砖家 利润高可能是因为新能源卖的差
狠人!印度一男子爬火车摸25000伏高压电 瞬间成火球吓坏网友
重点聚焦!104MB缓对锐龙7 7800X3D核显无用:鸡血提升不存在
全球热资讯!SpringBoot中如何编写一个优雅的限流组件?
环球今热点:一文快速了解火山引擎 A/B 测试平台
小程序对接三方插件契约锁
【全球新视野】真的有那么好?试完深蓝SL03我明白了
诺基亚E72i手机什么时候上市的?诺基亚E72i手机参数
摩尔庄园怎么获得桑叶?摩尔庄园怎么收获农作物?
龙之谷白屏是怎么回事?龙之谷白屏怎么解决?
天天观点:四年创收20亿美元!微软XGP PC用户突破1500万
大神出手!安卓14/骁龙8 Gen2双双被破解:一键ROOT
南非一客机驾驶舱惊现剧毒眼镜蛇往人身上爬 飞行员神勇应对:平安降落
闲鱼曝光率突然下降怎么办?闲鱼曝光率怎么提高?
闲鱼对方被处置能回复消息吗?闲鱼对方被处置能正常发货吗?
全球热文:某公司技术经理媚上欺下,打工人应怼尽怼,嘤其鸣兮,求其友声!
焦点讯息:用上这几种.NET EF Core性能调优,查询性能飙升
全球今日讯!石家庄:医师资格考试报名材料即将发放
天天观热点:老司机不刹车?特斯拉潮州事故车主不服鉴定 车顶维权女车主:厂商应公开完整数据
世界聚焦:为救高烧幼童 高铁破例停车2分钟
【独家】你敢体验吗?菲律宾推出网红蟒蛇按摩服务:40元享受30分钟
AI抢饭碗成真!近500家企业用ChatGPT取代员工:有公司省超10万美元
世界头条:苏炳添回应手机从小米换成苹果:合约已到期 旧手机摔坏了
【世界快播报】K8S学习圣经6:资源控制+SpringCloud动态扩容原理和实操
环球热议:顶象受邀加入“数字政府网络安全产业联盟”
Blender插件:Muscle System
天天短讯!两单REIT业绩说明会首次在上海证券交易所成功举办
世界热消息:招商银行信用卡网银(中国邮政储蓄余额查询)
焦点精选!什么情况?马自达要给CX-50征集中文名:越境、行也、俊驰、览乐你投谁
全球即时看!工资六千的岗位面试了6轮!女生发视频吐槽
世界观点:TikTok回应英国政府巨额罚款:乐见罚款大幅度降低
李国庆称羡慕周鸿祎离婚:没争夺控制权 你就乐吧
嫦娥五号采集月壤立功:中国科学家刷新月球死亡时间
环球资讯:EasyMR 安全架构揭秘:如何管理 Hadoop 数据安全
小程序容器助力组装移动银行超级APP
【环球报资讯】GPS北斗卫星时钟服务器在飞机场内网中的应用
和讯个股快报:2023年04月06日 紫天科技(300280),该股K线呈现“乌云盖顶”形态