目录
https://download.csdn.net/download/weixin_43650289/79336526https://download.csdn.net/download/weixin_43650289/79336526
一、Windows 应急响应
应急响应流程
磁盘取证
- 磁盘克隆 WinHex
- 系统镜像 AOMEI Backupper
内存取证
- 工具 memoryze
- 工具 Dumpit
- 工具 MDD
系统基本信息
- Systeminfo
- 网络配置信息
网络排查
- Netstat -bno
- Netstat -ano
- Wireshark
进程排查
- 任务管理器
- Tasklist
- 进程模块
- 其他工具
计划任务
注册表启动
- Msconfig
- Run
- 镜像劫持
- 文件关联
- 使用工具 autorun
服务启动
- 查看服务
- 清除服务
关键目录
- 查看最近打开文件
- %appdata%
- %temp%
- %LocalAppData%
- %ProgramData%
- %WinDir%
- c盘目录
- C:\WINDOWS\system32
- MD5关联
用户组
- 查找隐藏用户
- 查找克隆用户
事件日志
- 安全日志
- 审核安全日志
Webshell
应急排查思路
- 追踪主机
- 定位进程
- 定位文件
数据库日志分析
- MongoDB
- Mysql
- Sql server
- PostgreSQL
- Oracle
- LogMiner
二、LINUX 应急响应
history
内存镜像
分析内存镜像
Volatility
系统信息
网络
进程
(1)进程占用 cpu,内存耗能高。
(2)进程运行时间,开始时间,差异化明显
(3)进程路径,使用命令参数异常
(4)多数病毒会替换系统命令