摘要:
应急事件检测 1.Windows 系统 1.1.Windows 系统用户账号收集 查找本地用户和组:lusrmgr.msc 查找用户:net user 查找本地管理员组用户:net localgroup administrators 使用 powershell 查找用户:Get-LocalUser 阅读全文
摘要:
数据保护技术 1.磁盘镜像制作 1.1.Windows 磁盘镜像制作及恢复 GetData Forenisc Imager 该工具安装后,可将安装后的文件复制出来(类似绿色运行) 使用(需要管理员运行):https://getdataforensics.com/product/fex-imager/ 阅读全文
摘要:
应急响应流程 1.应急响应准备 1.1.获取当前网络安全事件信息 事件发生前,做好日常运维检测,收集各类故障信息 区分系统自身故障和人为破坏 区分一般事件和应急响应事件 充分获取当前事件信息,从而启动相应的预案 事件上报,确认应急事件类型和应急事件的等级 通知相关人员,启动应急预案 1.2.启用网络 阅读全文
摘要:
Linux 分析排查 1.敏感文件信息 1.1.tmp 目录 /tmp:临时目录文件,每个用户都可以对它进行读写操作。因此一个普通用户可以对 /tmp 目录执行读写操作(ls -alt) 筛查 /tmp 目录下是否存在相关的恶意文件等 1.2.开机启动:/etc/init.d 恶意代码很可能设置在开 阅读全文
摘要:
Windows 分析排查 分析排查是指对 Windows 系统中的文件、进程、系统信息、日志记录等进行检测,挖掘 Windows 系统中是否具有异常情况 1.开机启动项检查 一般情况下,各种木马、病毒等恶意程序,都会在计算机开机启动过程中自启动 查看开机启动项: 1.利用操作系统中的启动菜单(注意有 阅读全文