admin管理员组

文章数量:1530845

  1. 应急响应(是有一整套流程的):
    • 原理:
      • 一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施
    • 阶段:
      • 准备->启动->抑制->根除->恢复->跟进
      • 准备应急工具,相应的应急文档、合同、保密协议,开会沟通
      • 启动:讨论这个是怎么进来的
      • 抑制:切断受感染主机,拔网线,网络隔离
      • 根除:查找病毒木马,分析日志,溯源,打补丁
      • 恢复:业务恢复
      • 跟进:监控,看是否还会进来
    • 详细流程:
      • 准备阶段:
        • 做系统快照
        • 准备应急工具包
        • 备份数据
      • 检测阶段:
        • 检测木马病毒
      • 抑制阶段:
        • 查杀木马病毒
        • 溯源
      • 恢复阶段:
        • 业务恢复 
  2. 实战笔记:
    • 病毒木马区别:
      • 病毒具有破坏性、复制性、传染性
    • 手动查杀病毒木马技术:
      • 具备技能:
        •     (1)熟悉windows系统进程; 
              (2)熟悉常见端口与进程对应关系; 
              (3)熟悉windows自带系统服务; 
              (4)熟悉注册表启劢项位置;
           
      • 查找可疑的目录和文件 | 按时间排序查看创建时间日期 |  
      • 工具查杀:360,D盾,日志分析工具,
      • 木马查杀工具:
        • ARK(反内核)系列工具:冰刃、Xuetr、火绒剑
        • 上传文件隐藏专家到win2003服务器:隐藏c:\\1.txt文件
        • cmd执行mkdir 123..\  文件夹,删也删不掉123文件夹
        • 上传PCHunter到win3,执行木马查杀,查找1.txt,删除123文件夹
    • windows入侵排查:
      •  木马可能存在的位置(组策略|注册表|启动项|服务启动|计划任务|操作系统配置里 里边):
        • 1)“启动”文件夹──最常见的自启动程序文件夹。
              它位于系统分区的“documents and Settings-->User-->〔开始〕菜单-->程序”目录下。这时的User指的是登录的用户名。

          2)“All Users”中的自启动程序文件夹──另一个常见的自启动程序文件夹。
              它位于系统分区的“documents and Settings-->All User-->〔开始〕菜单-->程序”目录下。前面提到的“启动”文件夹运行的是登录用户的自启动程序,而“All Users”中启动的程序是在所有用户下都有效(不论你用什么用户登录)。

          3)“Load”键值── 一个埋藏得较深的注册表键值。
              位于〔HKEY_CURRENT_USER\Software\Microsoft\Windows 
          NT\CurrentVersion\Windows\load〕主键下。(开机自动执行)

          4)“Userinit”键值──用户相关
               它则位于〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit〕主键下,也是用于系统启动时加载程序的。一般情况下,其默认值为“userinit.exe”,由于该子键的值中可使用逗号分隔开多个程序,因此,在键值的数值中可加入其它程序。
        •  用到的命令有: msconfig、services.msc、sc 、tasklist /svc( 注:/svc是详细查看一个宿主进程对应的多项服务 )。
        • PCHunter找到svhost.exe进程(有数字签名的)很多服务躲到这个进程里,查看进程模块,黑色代表微软自带的进程,蓝色代表第三方进程,红色肯定有问题,命令:tasklist  /svc | task kill -pid  1736
        • sc 命令创建服务(服务相关操作命令),dll动态库文件借助exe挂载执行
        • 木马病毒躲在win.ini里 | cmd 直接输入 win.ini | 
          • run=c:\windows\file.exe
            load=c:\windows\file.exe
            要小心了,这个file.exe很可能是木马。
        •  System.ini位于Windows的安装目录下,其[boot]字段的shell=Explorer.exe是木马喜欢的隐蔽加载之所,木马通常的做法是将该句变为这样:shell=Explorer.exe window.exe,注意这里的window.exe就是木马程序。
        • 6、*.INI
              即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖同名文件,这样就可以达到启动木马的目的了。

          7、修改文件关联
              修改文件关联是木马常用手段(主要是国产木马,老外的木马大都没有这个功能),比方说正常情况下txt文件的打开方式为Notepad.EXE文件,但一旦中了文件关联木马

本文标签: 网络安全

版权声明:本文标题:网络安全之应急响应 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/xitong/1725871002a1046228.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。