龙空技术网

应急响应介绍(二)

网络安全菜鸟 993

前言:

此时同学们对“获取页面响应时间的指令”大体比较注意,咱们都想要了解一些“获取页面响应时间的指令”的相关文章。那么小编同时在网上搜集了一些对于“获取页面响应时间的指令””的相关内容,希望我们能喜欢,大家一起来学习一下吧!

入侵排查

系统排查

进程排查

服务排查

文件痕迹排查

日志分析

内存分析

流量分析

威胁情报

系统排查—基本信息Windows

使用 Microsoft 系统信息工具(msinfo32.exe),它是Microsoft Windows NT 诊断工具(Winmsd.exe)的更新版本

① 系统信息工具:输入 msinfo32 命令,打开系统摘要信息窗口

② 正在运行的任务:系统摘要 ->软件环境 ->正在运行的任务,可以看到正在运行的任务名称、路径、进程ID等信息

③ 服务:在系统摘要 ->软件环境 -> 服务 选项,查看服务的名称、状态、路径等信息

④ 系统驱动程序:软件环境 -> 系统驱动程序,可以查看系统驱动程序的名称、描述、文件等信息

⑤ 加载的模块:软件环境 ->加载的模块,查看加载的模块的名称、路径等信息

⑥ 启动程序:软件环境 -> 启动程序,查看启动程序的命令、用户名、位置等信息

⑦ 还可以使用 systeminfo 命令查看简要信息

linux

CPU信息:查看CPU的型号、主频、内核等信息

lscpu

操作系统信息:查看当前操作系统信息

uname -acat /proc/version

模块信息:查看所有载入系统的模块信息

lsmod
用户信息Windows

排查恶意账户

① 命令行输入:net user,这种方法看不到 $ 隐藏的账户

② 图形界面:在计算机管理 -> 本地用户和组 -> 用户 中查看,可以查看隐藏账户,名称以 $ 结尾的是隐藏账户或者通过 lusrmgr.msc 命令,打开图形界面

③ 注册表查看:运行 中输入 regedit,打开注册表编辑器,在 HKEY_LOCAL_MACHINE下的 SAM 选项,可以访问到子项并查看用户信息,查看是否存在隐藏克隆账户

④ wmic: wmic useraccount get name,sid

win11使用mimikatz

privilege::debugtoken::elevatelsadump::sam
linux

查看所有用户信息: cat /etc/passwd ,分别表示: “用户名”“密码加密”“用户ID”“用户组ID”“注释”“用户主目录”“默认登录shell”,最后显示 “bin/bash”表示账户状态可登录,如果为“sbin/nologin”,表示账户状态不可登录

分析超级权限账户:查询可登录账户UID为0的账户,root是UID为0的可登录账户,如果出现其它为0的账户,就要重点排查:

awk -F: '{if($3==0)print $1}' /etc/passwd

查看可登录的账户:

cat /etc/passwd | grep 'bin/bash’

查看用户错误的登录信息:

lastb

查看所有用户最后的登录时间:

lastlog

查看用户最近登录信息:

last

数据源为 /var/log/wtmp 、 /var/log/btmp、 /var/log/utmp。wtmp存放登录成功的信息,btmp存放登录失败的信息,utmp存放正在 登录的信息

查看当前用户登录系统情况:

who
启动项Windows

windows系统中自启动文件时按照2个文件和5个核心注册表子键来自动加载程序

通过“系统配置”对话框查看:在命令行输入 msconfig

通过注册表查看:注册表时操作系统中一个重要的数据库,主要用于存储系统必需的信息

注册表以分层的组织形式存储数据元素,数据项是注册表的基本元素,每个数据项下面不但可以存储很多子数据项,还可以以键值的形式存储数据

HKEY_CLASSES_ROOT (HKCR):此处存放信息可确保windows资源管理器中执行时打开正确的程序,还包含有关拖放规则、快捷方法和用户界面信息的更多详细信息

HKEY_CURRENT_USER(HKCU): 包含当前登录系统的用户的配置信息,有用户的文件夹 、屏幕颜色和控制面板的设置

HKEY_LOCAL_MACHINE(HKLM): 包含运行操作系统的计算机硬件特定的信息,有系统上安装的驱动器列表以及已安装硬件和应用程序的通用配置

HKEY_USERS(HKU): 包含系统上所有用户配置文件的配置信息,有应用程序配置和可视化设置

HKEY_CURRENT_CONFIG(HCU): 存储有关系统当前配置的信息

linux

启动项是恶意病毒实现持久化的常用手段

查看 init.d 文件加下的rc.local 文件内容:

cat /etc/init.d/rc.local 

查看rc.local 文件的内容

cat /etc/rc.local 

查看init.d 文件夹下所有文件的详细信息

ls -alt /etc/init.d : 

kali默认是没有rc.local的,需要自己创建

计划任务Windows

计算机管理 -> 系统工具 -> 任务计划程序 -> 任务计划程序库,查看任务计划名称、状态、触发器等信息

在powershell输入:

Get-ScheduledTask

命令行输入: 获取任务计划时要求是本地Administrators的成员

schtasks
Linux

命令输入:

crontab -l crontab -u root -l

查看 /etc 目录下的任务计划文件:

ls /etc/cron*

【——全网最全的网络安全学习资料包分享给爱学习的你,关注我,私信回复“资料领取”获取——】

1.网络安全多个方向学习路线

2.全网最全的CTF入门学习资料

3.一线大佬实战经验分享笔记

4.网安大厂面试题合集

5.红蓝对抗实战技术秘籍

6.网络安全基础入门、Linux、web安全、渗透测试方面视频

#03动态代理进程排查Windows

通过任务管理器查看,可以在”查看“中选择”选择列“,然后添加”映像路径名称“ 和”命令行“ 查看更多进程信息

使用tasklist命令

查看进程与服务对应情况 :

tasklist /svc

对于某些DLL 恶意进程 :

tasklist /m

查看调用 ntdll.dll 模块的进程 :

tasklist /m ntdll.dll

可以通 /fi 进行过滤:

tasklist /svc /fi "PID eq 2820"
通过 netstat 进行排查

查看当前网络连接 :

netstat -ano | findstr "ESTABLISHED" 

通过netstat 定位出PID,通过tasklist 命令进行程序定位

wmic process where name="firefox.exe" get processid,executablepath,name wmic process where processid=602444 get processid,executablepath,name 

快速定位到端口对应的程序(管理员权限): netstat -anb

使用Powershell进行排查

进入Powershell:

get-wmiobject win32_process | select name,processid,parentprocessid,path
wmic查询

以csv格式显示数据:wmic process list full /format:csv

wmic process get name,parentprocessid,processid /format:csv wmic process get executablepath,processid /format:csv wmic process where processid=2020 get executablepath,processid /format:csv wmic process where name="httpd.exe" get executablepath,processid /format:csv
linux

① 查看进程:

netstat -anptl

② 然后查看3364进程的可执行程序:

ls -alt /proc/3364 

查看进程打开的文件:

lsof -p  3364

③ 如果是恶意进程,可杀掉进程:

kill -9 3364

然后删除可疑木马:

rm -rf 木马文件 

④ 如果无法删除,可能文件被加上 i 属性,使用: lsattr 文件名 ,查看属性,然后使用 chattr -i 文件名 ,移除 i 属性,然后删除文件

⑤ 如果进程无法删除,可疑先查杀守护进程,然后再删除

⑥ 通过 top 查看相关资源占用率比较高的进程

服务排查Windows

打开“运行”,输入 services.msc 命令,可打开 “服务”窗口,查看所有服务项,包括 服务名、描述、状态等

linux

查看系统运行服务:

chkconfig --list

chkconfig命令属于readhat的linux系统的命令。如果系统属debina系如ubuntu是没有这个命令的。

所有服务的状态:

service --status-all
文件痕迹排查

对恶意软件常用的敏感路径进行排查

在确定了应急响应事件的时间点后,对时间点前后的文件进行排查

对带有特征的恶意软件进行排查,这些特征包括代码关键字或关键函数,文件权限特征等

敏感目录Windows

检查各个盘下的 temp(tmp)相关目录:有些恶意程序释放子体(即恶意程序运行时投放出的文件)一般会在程序中写好投放的路径,常常为临时目录。对敏感目录进行检查, 一般是看临时目录下是否存在异常文件

对于一些人工入侵的应急响应事件,有时入侵者会下载一些后续攻击的工具。windows系统要重点排查浏览器的历史记录,下载文件和cookie信息,查看是否由相关的恶意痕迹

查看用户Recent文件

Recent文件主要存储了最近运行文件的快捷方式,可以通过分析最近运行的文件,排查可疑文件,一般Recent文件在windows系统中的存储位置: C:\Users\Administrator\Recent、C:\Users\用户名\Recent,或者通过“运行”-> 输入 “ recent ”

预读取文件夹查看

Prefetch 是预读取文件夹,用来存放系统已经访问过的文件的预读取信息,扩展名为pf,之所以自动创建Prefetch文件夹,是为了加快系统启动的进程。 windows7可以保存最近128个可执行文件的信息,在windows8和windows10系统中可以记录最近1024个可执行文件,一旦建立了映像,之后应用软件的装入速度可大幅度提升。

Prefetch文件夹的位置为 %SystemRoot%\Prefetch\ ,可以在 运行 对话框中输入 prefetch 或者 %SystemRoot%\Prefetch\,或者打开:C:\Windows\Prefetch

linux

linux常见敏感目录:

/tmp 目录和命令目录 /usr/bin 、 /usr/sbin等经常作为恶意软件下载目录即相关文件被替换的目录~/.ssh 以及 /etc/ssh 也经常作为一些后门配置的路径,需要重点排查时间点

应急响应事件发生后,需要先确认事件发生的时间点,然后排查时间点前、后的文件变动情况,从而缩小排查的范围

Windows

列出攻击日期内新增的文件,从而发现相关的恶意软件。在windows系统中,输入命令: forfiles ,查找相应的文件

例如:

显示对 2021/11/27 后的创建的txt文件进行搜索:

forfiles /m *.txt /d +2021/11/27 /s /p c:\ /c "cmd /c echo @path @fdate  @ftime" 2>null

显示 2021/11/1 之后pptx名字包含”网络“的文件:

forfiles /m *网络*.pptx /p f:\ /d +2021/11/1 /s /c "cmd /c echo @path  @fdate @ftime" 2>null

显示 2021/11/27 后所有访问过的文件:

forfiles /m *.* /p f:\ /d +2021/11/27 /s /c "cmd /c echo @path @fdate  @ftime" 2>null 

以上命令中 2>null 表示将错误输出重定向到空设备,即不输出错误信息。

对文件的创建时间、修改时间、访问时间进行排查,对于人工入侵的应急响应事件,有时攻击者会为了掩饰入侵行为,对文档的相应时间进行修改,以规避一些排查策略,比如攻击者可能通过”菜刀“这类工具修改时间,因此,如果文件的相关时间存在明显逻辑问题 ,就需要重点排查,很可能是恶意文件(比如创建时间为2021,修改时间为2018)

linux

通过列出攻击日期内变动的文件,可发现相关的恶意文件,通过 find 命令,可以对某一时间内增加的文件进行查找

find: 在指定的目录下查找文件

-type b/d/c/p/l/f :查找块设备、目录、字符设备、管道、符号链接、普通文件

​ -mtime -n +n :按文件更改时间来查找文件,-n指 n天以内,+n指 n天前

​ -atime -n +n : 按文件访问时间来查找

​ -ctime -n +n : 按照文件创建时间来查找

例如:

查找一天内新增的txt文件:

find / -ctime 0 -name ".*txt"

查找3天内新增的txt文件:

find / -ctime -3 -name "*.txt"

查看目录按照时间排序:

ls -alt | head -n 10 (查看前10条的内容)

对文件的创建时间、修改时间、访问时间进行排查

使用 stat 命令可以查看文件详细信息,若修改时间距离应急响应事件日期接近,有线性关联,说明有可能被篡改

linux特殊文件

特殊权限文件查找:

find /tmp -perm 777 

webshell查找:webshell排查可以通过文件、流量、日志分析,基于文件的命名特征和内容特征,相对操作性较高。

例如查找/var/www下所有php文件 :

find /var/www/ -name "*.php"

例如:

find /var/www/ -name "*.php" | xargs egrep  "assert|eval|base64_decode|shell_exec|passthru|\(\$\_\POST\["
webshellWindows

webshell(网站入侵脚本)可以通过上述方法筛选之后,再进一步排查,还可以使用D 盾、HwsKill、webshellKill等工具对目录下的文件进行规则查询

标签: #获取页面响应时间的指令 #net user查看隐藏用户