前言:
此时同学们对“获取页面响应时间的指令”大体比较注意,咱们都想要了解一些“获取页面响应时间的指令”的相关文章。那么小编同时在网上搜集了一些对于“获取页面响应时间的指令””的相关内容,希望我们能喜欢,大家一起来学习一下吧!入侵排查
系统排查
进程排查
服务排查
文件痕迹排查
日志分析
内存分析
流量分析
威胁情报
系统排查—基本信息Windows
使用 Microsoft 系统信息工具(msinfo32.exe),它是Microsoft Windows NT 诊断工具(Winmsd.exe)的更新版本
① 系统信息工具:输入 msinfo32 命令,打开系统摘要信息窗口
② 正在运行的任务:系统摘要 ->软件环境 ->正在运行的任务,可以看到正在运行的任务名称、路径、进程ID等信息
③ 服务:在系统摘要 ->软件环境 -> 服务 选项,查看服务的名称、状态、路径等信息
④ 系统驱动程序:软件环境 -> 系统驱动程序,可以查看系统驱动程序的名称、描述、文件等信息
⑤ 加载的模块:软件环境 ->加载的模块,查看加载的模块的名称、路径等信息
⑥ 启动程序:软件环境 -> 启动程序,查看启动程序的命令、用户名、位置等信息
⑦ 还可以使用 systeminfo 命令查看简要信息
linux
CPU信息:查看CPU的型号、主频、内核等信息
lscpu
操作系统信息:查看当前操作系统信息
uname -acat /proc/version
模块信息:查看所有载入系统的模块信息
lsmod用户信息Windows
排查恶意账户
① 命令行输入:net user,这种方法看不到 $ 隐藏的账户
② 图形界面:在计算机管理 -> 本地用户和组 -> 用户 中查看,可以查看隐藏账户,名称以 $ 结尾的是隐藏账户或者通过 lusrmgr.msc 命令,打开图形界面
③ 注册表查看:运行 中输入 regedit,打开注册表编辑器,在 HKEY_LOCAL_MACHINE下的 SAM 选项,可以访问到子项并查看用户信息,查看是否存在隐藏克隆账户
④ wmic: wmic useraccount get name,sid
win11使用mimikatz
privilege::debugtoken::elevatelsadump::samlinux
查看所有用户信息: cat /etc/passwd ,分别表示: “用户名”“密码加密”“用户ID”“用户组ID”“注释”“用户主目录”“默认登录shell”,最后显示 “bin/bash”表示账户状态可登录,如果为“sbin/nologin”,表示账户状态不可登录
分析超级权限账户:查询可登录账户UID为0的账户,root是UID为0的可登录账户,如果出现其它为0的账户,就要重点排查:
awk -F: '{if($3==0)print $1}' /etc/passwd
查看可登录的账户:
cat /etc/passwd | grep 'bin/bash’
查看用户错误的登录信息:
lastb
查看所有用户最后的登录时间:
lastlog
查看用户最近登录信息:
last
数据源为 /var/log/wtmp 、 /var/log/btmp、 /var/log/utmp。wtmp存放登录成功的信息,btmp存放登录失败的信息,utmp存放正在 登录的信息
查看当前用户登录系统情况:
who启动项Windows
windows系统中自启动文件时按照2个文件和5个核心注册表子键来自动加载程序
通过“系统配置”对话框查看:在命令行输入 msconfig
通过注册表查看:注册表时操作系统中一个重要的数据库,主要用于存储系统必需的信息
注册表以分层的组织形式存储数据元素,数据项是注册表的基本元素,每个数据项下面不但可以存储很多子数据项,还可以以键值的形式存储数据
HKEY_CLASSES_ROOT (HKCR):此处存放信息可确保windows资源管理器中执行时打开正确的程序,还包含有关拖放规则、快捷方法和用户界面信息的更多详细信息
HKEY_CURRENT_USER(HKCU): 包含当前登录系统的用户的配置信息,有用户的文件夹 、屏幕颜色和控制面板的设置
HKEY_LOCAL_MACHINE(HKLM): 包含运行操作系统的计算机硬件特定的信息,有系统上安装的驱动器列表以及已安装硬件和应用程序的通用配置
HKEY_USERS(HKU): 包含系统上所有用户配置文件的配置信息,有应用程序配置和可视化设置
HKEY_CURRENT_CONFIG(HCU): 存储有关系统当前配置的信息
linux
启动项是恶意病毒实现持久化的常用手段
查看 init.d 文件加下的rc.local 文件内容:
cat /etc/init.d/rc.local
查看rc.local 文件的内容
cat /etc/rc.local
查看init.d 文件夹下所有文件的详细信息
ls -alt /etc/init.d :
kali默认是没有rc.local的,需要自己创建
计划任务Windows
计算机管理 -> 系统工具 -> 任务计划程序 -> 任务计划程序库,查看任务计划名称、状态、触发器等信息
在powershell输入:
Get-ScheduledTask
命令行输入: 获取任务计划时要求是本地Administrators的成员
schtasksLinux
命令输入:
crontab -l crontab -u root -l
查看 /etc 目录下的任务计划文件:
ls /etc/cron*
【——全网最全的网络安全学习资料包分享给爱学习的你,关注我,私信回复“资料领取”获取——】
1.网络安全多个方向学习路线
2.全网最全的CTF入门学习资料
3.一线大佬实战经验分享笔记
4.网安大厂面试题合集
5.红蓝对抗实战技术秘籍
6.网络安全基础入门、Linux、web安全、渗透测试方面视频
#03动态代理进程排查Windows
通过任务管理器查看,可以在”查看“中选择”选择列“,然后添加”映像路径名称“ 和”命令行“ 查看更多进程信息
使用tasklist命令
查看进程与服务对应情况 :
tasklist /svc
对于某些DLL 恶意进程 :
tasklist /m
查看调用 ntdll.dll 模块的进程 :
tasklist /m ntdll.dll
可以通 /fi 进行过滤:
tasklist /svc /fi "PID eq 2820"通过 netstat 进行排查
查看当前网络连接 :
netstat -ano | findstr "ESTABLISHED"
通过netstat 定位出PID,通过tasklist 命令进行程序定位
wmic process where name="firefox.exe" get processid,executablepath,name wmic process where processid=602444 get processid,executablepath,name
快速定位到端口对应的程序(管理员权限): netstat -anb
使用Powershell进行排查
进入Powershell:
get-wmiobject win32_process | select name,processid,parentprocessid,pathwmic查询
以csv格式显示数据:wmic process list full /format:csv
wmic process get name,parentprocessid,processid /format:csv wmic process get executablepath,processid /format:csv wmic process where processid=2020 get executablepath,processid /format:csv wmic process where name="httpd.exe" get executablepath,processid /format:csvlinux
① 查看进程:
netstat -anptl
② 然后查看3364进程的可执行程序:
ls -alt /proc/3364
查看进程打开的文件:
lsof -p 3364
③ 如果是恶意进程,可杀掉进程:
kill -9 3364
然后删除可疑木马:
rm -rf 木马文件
④ 如果无法删除,可能文件被加上 i 属性,使用: lsattr 文件名 ,查看属性,然后使用 chattr -i 文件名 ,移除 i 属性,然后删除文件
⑤ 如果进程无法删除,可疑先查杀守护进程,然后再删除
⑥ 通过 top 查看相关资源占用率比较高的进程
服务排查Windows
打开“运行”,输入 services.msc 命令,可打开 “服务”窗口,查看所有服务项,包括 服务名、描述、状态等
linux
查看系统运行服务:
chkconfig --list
chkconfig命令属于readhat的linux系统的命令。如果系统属debina系如ubuntu是没有这个命令的。
所有服务的状态:
service --status-all文件痕迹排查
对恶意软件常用的敏感路径进行排查
在确定了应急响应事件的时间点后,对时间点前后的文件进行排查
对带有特征的恶意软件进行排查,这些特征包括代码关键字或关键函数,文件权限特征等
敏感目录Windows
检查各个盘下的 temp(tmp)相关目录:有些恶意程序释放子体(即恶意程序运行时投放出的文件)一般会在程序中写好投放的路径,常常为临时目录。对敏感目录进行检查, 一般是看临时目录下是否存在异常文件
对于一些人工入侵的应急响应事件,有时入侵者会下载一些后续攻击的工具。windows系统要重点排查浏览器的历史记录,下载文件和cookie信息,查看是否由相关的恶意痕迹
查看用户Recent文件
Recent文件主要存储了最近运行文件的快捷方式,可以通过分析最近运行的文件,排查可疑文件,一般Recent文件在windows系统中的存储位置: C:\Users\Administrator\Recent、C:\Users\用户名\Recent,或者通过“运行”-> 输入 “ recent ”
预读取文件夹查看
Prefetch 是预读取文件夹,用来存放系统已经访问过的文件的预读取信息,扩展名为pf,之所以自动创建Prefetch文件夹,是为了加快系统启动的进程。 windows7可以保存最近128个可执行文件的信息,在windows8和windows10系统中可以记录最近1024个可执行文件,一旦建立了映像,之后应用软件的装入速度可大幅度提升。
Prefetch文件夹的位置为 %SystemRoot%\Prefetch\ ,可以在 运行 对话框中输入 prefetch 或者 %SystemRoot%\Prefetch\,或者打开:C:\Windows\Prefetch
linux
linux常见敏感目录:
/tmp 目录和命令目录 /usr/bin 、 /usr/sbin等经常作为恶意软件下载目录即相关文件被替换的目录~/.ssh 以及 /etc/ssh 也经常作为一些后门配置的路径,需要重点排查时间点
应急响应事件发生后,需要先确认事件发生的时间点,然后排查时间点前、后的文件变动情况,从而缩小排查的范围
Windows
列出攻击日期内新增的文件,从而发现相关的恶意软件。在windows系统中,输入命令: forfiles ,查找相应的文件
例如:
显示对 2021/11/27 后的创建的txt文件进行搜索:
forfiles /m *.txt /d +2021/11/27 /s /p c:\ /c "cmd /c echo @path @fdate @ftime" 2>null
显示 2021/11/1 之后pptx名字包含”网络“的文件:
forfiles /m *网络*.pptx /p f:\ /d +2021/11/1 /s /c "cmd /c echo @path @fdate @ftime" 2>null
显示 2021/11/27 后所有访问过的文件:
forfiles /m *.* /p f:\ /d +2021/11/27 /s /c "cmd /c echo @path @fdate @ftime" 2>null
以上命令中 2>null 表示将错误输出重定向到空设备,即不输出错误信息。
对文件的创建时间、修改时间、访问时间进行排查,对于人工入侵的应急响应事件,有时攻击者会为了掩饰入侵行为,对文档的相应时间进行修改,以规避一些排查策略,比如攻击者可能通过”菜刀“这类工具修改时间,因此,如果文件的相关时间存在明显逻辑问题 ,就需要重点排查,很可能是恶意文件(比如创建时间为2021,修改时间为2018)
linux
通过列出攻击日期内变动的文件,可发现相关的恶意文件,通过 find 命令,可以对某一时间内增加的文件进行查找
find: 在指定的目录下查找文件
-type b/d/c/p/l/f :查找块设备、目录、字符设备、管道、符号链接、普通文件
-mtime -n +n :按文件更改时间来查找文件,-n指 n天以内,+n指 n天前
-atime -n +n : 按文件访问时间来查找
-ctime -n +n : 按照文件创建时间来查找
例如:
查找一天内新增的txt文件:
find / -ctime 0 -name ".*txt"
查找3天内新增的txt文件:
find / -ctime -3 -name "*.txt"
查看目录按照时间排序:
ls -alt | head -n 10 (查看前10条的内容)
对文件的创建时间、修改时间、访问时间进行排查
使用 stat 命令可以查看文件详细信息,若修改时间距离应急响应事件日期接近,有线性关联,说明有可能被篡改
linux特殊文件
特殊权限文件查找:
find /tmp -perm 777
webshell查找:webshell排查可以通过文件、流量、日志分析,基于文件的命名特征和内容特征,相对操作性较高。
例如查找/var/www下所有php文件 :
find /var/www/ -name "*.php"
例如:
find /var/www/ -name "*.php" | xargs egrep "assert|eval|base64_decode|shell_exec|passthru|\(\$\_\POST\["webshellWindows
webshell(网站入侵脚本)可以通过上述方法筛选之后,再进一步排查,还可以使用D 盾、HwsKill、webshellKill等工具对目录下的文件进行规则查询
标签: #获取页面响应时间的指令 #net user查看隐藏用户