1.入侵排查思路
①文件分析
文件日期、额外文件、可疑/异常文件、常用文件、浏览器下载文件
对Webshell的筛选和分析
主要使用协会目录档案分析
②进程分析
远程连接, 当前活动进程
启动计划、计划任务
进程分析工具有
windows:pchunter
linux:chkroothit&Rhunter
③系统信息
环境变量
账号信息
history
系统配置文件
④日志分析
操作系统日志
Window 中的事件查看器( eventvwr)
linux:/var/log/
应用日志分析
access.log
error.log
二,我们如何调查攻击者 如果我们发现QQ?
第一,试着进入它的空间 学习更多关于它, 或者雇用他最好的朋友 作为社会工作者。
二. 利用社会工作银行寻找手机号码,并交叉核对使用移动电话号码的其他平台,如付款宝藏、Ali Yun等。
三. 冰蝎关系的特点和原则
冰蝎通信技术有两个阶段:关键谈判和加密传输。
第一阶段-密钥协商
(1) 攻击者使用HTTP或POST技术请求服务器键,例如http://shell.com/你在这里做什么,aspx?pass=645;
(2) 服务器生成随机数的MD5, 16位数作为密钥, 存储在会话的 $_SESSION 变量中, 并为攻击者提供密钥 。
第二阶段-加密传输
(1) 客户端将待定命令作为输入,用 AES 或 XOR 算法加密,并将其传送到服务器。
(2) 当服务结束接受密码时, AES 或 XOR 操作解密并执行相关指令。
3) 执行结果用AES加密,然后交还给袭击者。
冰蝎特征检测
为了总结流动相互作用中的蝎子特征,这些特征可分为两类:第一类是绕过特征的能力,攻击者可以通过编写报告加以利用。
该装置再次无法识别冰蝎网壳的能力,另一类是攻击者在某些情况下无法修改特定的HTTP短语。
个人特征经常被使用,但许多特征可以合并,减少误报,产生多重好处。
结合是一种技术,用来提高鉴定测试的准确性。
四. Windows系统日志检索
C:WindowsSystem32winevtLogs *( XP C:WindowsSystem32)
我不知道你在说什么 但我不确定你在说什么 但我不确定你在说什么
Evtx. 安保
Evtx Sys Event. Evtx 系统
五,你能从窗户看到后门吗?
系统工具替换后门
文件隐藏
计划任务
开机启动项
服务
waitfor.exe
Bitsadmin,用后门。
WMI后门
COM劫持
无法关闭临时文件夹:%s。
Appire 持久性模块
进程注入
除了这些后门和出入维护战略之外,还有暗号劫持、某些软件插座后门、办公室后门等等。