• 应急响应LINUX&Windows


    应急响应LINUX&Windows

    linux

    文件名说明
    /etc/passwd用户信息文件
    /etc/crontab定时任务文件
    /etc/anacrontab异步定时任务文件
    /etc/rc.d/rc.local开机启动项
    /var/log/btmp登录失败日志,使用last命令查看
    /var/log/cron定时任务执行日志
    /var/log/lastlog所有用户最近登录信息,使用lastlog查看
    /var/log/secure验证、授权等日志
    /var/log/wtmp包含用户登录日志,使用last命令查看
    /var/log/utmp当前登录系统的用户信息,使用last命令查看
    查看进程资源占用:top
    
    查看进程:ps -aux
    
    查看网络连接:netstat -antpl 
    
    查看进程开打的文件,打开文件的进程,进程打开的端口:lsof
    
    显示错误的尝试登录信息:lastb
    
    显示系统用户最近的登录信息:last
    
    现实所有的用户最近的登录信息:lastlog
    
    查看定时任务:crontab -lcat /etc/crontab
    
    查看历史命令:history、cat ~/.bash_history
    
    查看当前目录下所有文件并排序:ls -alt   ls -lrth
    
    校验RPM软件包:rpm -Va、dpkg -verify
    S:	表示对应文件的大小(Size)不一致;
    M:	表示对于文件的mode不一致;
    5:	表示对应文件的MD5不一致;
    D:	表示文件的major和minor号不一致;
    L:	表示文件的符号连接内容不一致;
    U:	表示文件的owner不一致;
    G:	表示文件的group不一致;
    T:	表示文件的修改时间不一致;
    
    查看文件(文件夹)详细的访问、修改、创建等信息:stat
    
    查找当前目录下,指定天数内修改的指定类型(or名称)文件:find ./ -mtime 0 -name *.jsp
    
    查找当前目录下,指定天数内新增的指定类型(or名称)文件: find ./ -ctime 0 -name *.jsp
    
    登录成功的IP
    grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
    
    定位有爆破行为的IP
    grep "Failed password" /var/log/secure|awk '{print $11}' | sort | uniq -c | sort -nr |more
    
    查看每个 IP 地址访问次数:cat access.log |awk '{print $1}' |sort|uniq –c
    
    访问URL排序:cat access.log |awk '{print $11}'|sort|uniq -c|sort -rn|head
    
    访问指定资源日志:cat access.log | awk '{print $7}' |grep /%25Domain |sort|uniq -c|sort -rn|more
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12
    • 13
    • 14
    • 15
    • 16
    • 17
    • 18
    • 19
    • 20
    • 21
    • 22
    • 23
    • 24
    • 25
    • 26
    • 27
    • 28
    • 29
    • 30
    • 31
    • 32
    • 33
    • 34
    • 35
    • 36
    • 37
    • 38
    • 39
    • 40
    • 41
    • 42
    • 43
    • 44
    • 45
    • 46
    • 47
    应急工具 - Busybox   官网:[https://busybox.net/]
    
    chkrootkit是一个linux下检RootKit的脚本。	官网:[http://www.chkrootkit.org/]
    Chkrootkit 安装:下载源码:ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
    解压后执行 make进行编译,就可以使用了。
    
    ./chkrootkit | grep INFECTED
    一般直接运行,一旦有INFECTED,说明可能被植入了RootKit
    
    Rkhunter
    
    河马Webshell查杀工具 官网:[https://www.shellpub.com/]
    Webshell 文件内容中的恶意函数
        PHP:eval(、system(、assert(
        JSP:getRunTime(、 FileOutputStream(
        ASP:eval(、execute(、 ExecuteGlobal(
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12
    • 13
    • 14
    • 15
    • 16

    Windows

    命令说明
    regedit注册表
    Taskmgr任务管理器
    Msconfig系统配置(包含启动项)
    eventvwr.msc事件查看器
    compmgmt.msc计算机管理(本地用户和组)
    gpedit.msc本地组策略
    taskschd.msc计划任务
    lusrmgr.msc本地用户和组

    渗透测试中常用windows命令

    ifconfig /all 获取获取域名、IP地址、DHCP服务器、网关、MAC地址、主机名
    net time /domain 查看域名、时间
    net view /domain 查看域内所有共享
    net view ip 查看对方局域网内开启了哪些共享
    net config workstation 查看域名、机器名等
    net user 用户名 密码 /add 建立用户
    net user 用户名 /del #删除用户
    net user guest /active:yes 激活guest账户
    net user 查看账户
    net user 账户名 查看指定账户信息
    net user /domain 查看域内有哪些用户,Windows NT Workstation 计算机上可用,由此可以此判断用户是否是域成员。
    net user 用户名 /domain 查看账户信息
    net group /domain 查看域中的组
    net group "domain admins" /domain 查看当前域的管理用户
    query user 查看当前在线的用户
    net localgroup 查看所有的本地组
    net localgroup administrators 查看administrators组中有哪些用户
    net localgroup administrators 用户名 /add 把用户添加到管理员组中
    net start 查看开启服务
    net start 服务名 开启某服务
    net stop 服务名 停止某服务
    net share 查看本地开启的共享
    net share ipc$ 开启ipc$共享
    net share ipc$ /del 删除ipc$共享
    net share c$ /del 删除C:共享
    \\192.168.0.108\c 访问默认共享c盘
    dsquery server 查看所有域控制器
    dsquery subnet 查看域内内子网
    dsquery group 查看域内工作组
    dsquery site 查看域内站点
    netstat -a 查看开启了哪些端口,常用netstat -an
    netstat -n 查看端口的网络连接情况,常用netstat -an
    netstat -v 查看正在进行的工作
    netstat -p 协议名 例:netstat -p tcq/ip 查看某协议使用情况(查看tcp/ip协议使用情况)
    netstat -s 查看正在使用的所有协议使用情况
    nbtstat -A ip 对方136到139其中一个端口开了的话,就可查看对方最近登陆的用户名(03前的为用户名)-注意:参数-A要大写
    reg save hklm\sam sam.hive 导出用户组信息、权限配置
    reg save hklm\system system.hive 导出SYSKEY
    net use \\目标IP\ipc$ 密码 /u:用户名 连接目标机器
    at \\目标IP 21:31 c:\server.exe 在某个时间启动某个应用
    wmic /node:"目标IP" /password:"123456" /user:"admin" 连接目标机器
    psexec.exe \\目标IP -u username -p password -s cmd 在目标机器上执行cmd
    finger username @host 查看最近有哪些用户登陆
    route print 显示出IP路由,将主要显示网络地址Network addres,子网掩码Netmask,网关地址Gateway addres,接口地址Interface
    arp 查看和处理ARP缓存,ARP是名字解析的意思,负责把一个IP解析成一个物理性的MAC地址。
    arp -a 将显示出全部信息
    nslookup IP地址侦测器
    tasklist 查看当前进程
    taskkill /pid PID数 终止指定PID进程
    whoami 查看当前用户及权限
    systeminfo 查看计算机信息(版本,位数,补丁情况)
    ver 查看计算机操作系统版本
    tasklist /svc 查看当前计算机进程情况
    netstat -ano 查看当前计算机进程情况
    wmic product > ins.txt 查看安装软件以及版本路径等信息,重定向到ins.txt
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12
    • 13
    • 14
    • 15
    • 16
    • 17
    • 18
    • 19
    • 20
    • 21
    • 22
    • 23
    • 24
    • 25
    • 26
    • 27
    • 28
    • 29
    • 30
    • 31
    • 32
    • 33
    • 34
    • 35
    • 36
    • 37
    • 38
    • 39
    • 40
    • 41
    • 42
    • 43
    • 44
    • 45
    • 46
    • 47
    • 48
    • 49
    • 50
    • 51
    • 52
    • 53
    • 54
    • 55
    获取本机用户列表:net user
    本机管理员:net localgroup administrators 			
    
    查看当前运行的服务:net start
    远程连接:net use 						
    查看当前用户下的共享目录:net share
    最近打开的文件:%UserProfile%\Recent 、%APPDATA%\Microsoft\Windows\Recent
    查找文件中的字符串:findstr /m /i /s "hello" *.txt
    查看当前会话:net session
    
    查看网络连接:netstat - ano	
    操作系统的详细配置信息:systeminfo
    获取系统进程信息: processWmic
    
    根据应用程序查找PID:wmic process where name="cmd.exe" get processid,executablepath,name
     
    根据PID查找应用程序:wmic process where processid="4296" get executablepath,name
    获取系统进程信息: tasklist
    对于要查询特定dll的调用情况,可以使用命令tasklist /m dll名称
    计算样本MD5:certutil -hashfile 样本 MD5
    
    敏感目录
    %WINDIR%
    %WINDIR%\system32\
    %TEMP%
    %LOCALAPPDATA%
    %APPDATA%
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12
    • 13
    • 14
    • 15
    • 16
    • 17
    • 18
    • 19
    • 20
    • 21
    • 22
    • 23
    • 24
    • 25
    • 26
    • 27
    PChunter AntiRootkit工具
    PCHunter是一款强大的内核级监控软件,软件可以查看内核文件、驱动模块、隐藏进程、注册表,内核,网络等等信息,
    和PCHunter功能相似的还有火绒剑,PowerTool等。
    
    Autoruns	启动项查看工具
    登录时的加载程序、驱动程序加载、服务启动、任务计划等 Windows 中各种方面的启动项。
    下载地址:[https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns]
    
    ProcessExplorer  进程查看工具
    Process monitor主要是监控进程的行为应用程序运行时使用此软件来监控程序的各种操作。此软件主要监控程序的五种行为:文件系统,注册表,进程,网络,分析。由于此款软件监控的是系统中所有的进程的行为,数据量往往很大,不利于我们分析数据,所以需要对其设置过滤选项,通过Filter->Filter选项可以看到右侧的窗口,在此窗口中增加过滤项。
    下载地址:[https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer]
    
    
    ProcessMonitor 进程实时监控
    TCPView 网络连接查看工具
    TCPView可以直接查看系统上与所有进程UDP和TCP端点的详细信息,
    下载地址:[https://docs.microsoft.com/zh-cn/sysinternals/downloads/tcpview]
    
    
    Microsoft Network Monitor   网络连接查看工具
    一款统计准确、占用资源小的网络流量监控软件
    下载地址:[https://www.microsoft.com/en-us/download/confirmation.aspx?id=4865]
    
    D盾  
    下载地址:[http://www.d99net.net/]
    
    
    Webshell查杀工具
    Everything
    搜索工具
    
    
    情报平台分析
    
    奇安信威胁情报中心
    微步在线社区
    Virus total
    IBM XFORCE
    
    情报平台分析资源地址:
    https://github.com/hslatman/awesome-threat-intelligence/blob/master/README_ch.md
    
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12
    • 13
    • 14
    • 15
    • 16
    • 17
    • 18
    • 19
    • 20
    • 21
    • 22
    • 23
    • 24
    • 25
    • 26
    • 27
    • 28
    • 29
    • 30
    • 31
    • 32
    • 33
    • 34
    • 35
    • 36
    • 37
    • 38
    • 39
    • 40
    • 41
    • 42
    日志

    Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。
    Windows主要有以下三类日志记录系统事件:系统日志、 安全日志、应用程序日志。

    打开方式:
    1、开始  ->  运行  ->  eventvwr
    2、开始  ->  管理工具  ->  事件查看  ->  安全
    系统日志主要是记录了系统组件产生的事件。系统日志主要记录的信息包括驱动程序产生的信息、系统组件产生的信息
    和应用程序崩溃的信息以及一些数据丢失情况的信息。
    
    默认位置:%SystemRoot%System32WinevtLogsSystem.evtx
    
    系统启动 					ID 12
    事件日志服务已启动 			 ID 6005
    事件日志服务已停止 			 ID 6006
    系统关闭 					ID 13
    
    
    
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12
    • 13
    • 14
    • 15

    安全日志主要记录了与系统安全相关的一些事件。这种日志类型主要是记录了用户登入登出的事件、系统资源的使用情况事件
    以及系统策略的更改事件,如果要查看安全日志信息,则操作员必须具有系统管理员的权限。

    默认位置:%SystemRoot%System32WinevtLogsSecurity.evtx

    事件ID说明 (与2000/xp/2003ID不同)
    1102清理审计日志
    4624账号成功登录
    4625账号登录失败
    4672授予特殊权限
    4719系统审计策略修改
    4720创建用户
    4726删除用户
    4728将成员添加到启用安全的全局组中
    4729将成员从安全的全局组中移除
    4732将成员添加到启用安全的本地组中
    4733将成员从启用安全的本地组中移除
    4756将成员添加到启用安全的通用组中
    4757将成员从启用安全的通用组中移除
    4768Kerberos身份验证(TGT请求)
    4769Kerberos服务票证请求
    4776NTLM身份验证
    7030服务创建错误
    7040IPSEC服务服务的启动类型已从禁用更改为自动启动
    7045服务创建
    event4624 登陆日志类型
    登录类型描述
    2交互式登录(用户从控制台登录)
    3网络(例如:通过net use,访问共享网络)
    4批处理(为批处理程序保留)
    5服务启动(服务登录)
    6不支持
    7解锁(带密码保护的屏幕保护程序的无人值班工作站)
    8网络明文(IIS服务器登录验证)
    10远程交互(终端服务,远程桌面,远程辅助)
    11缓存域证书登录

    Windows日志分析 - 应用程序日志

    指的在上的应用程序产生的日志。一般指的的是微软幵发的应用程序,第三发幵发的基于系统的应用程序如果使用日志记录的函数,则这个应用程序将可以通过事件查看器查看其日志信息 。

    默认位置:%SystemRoot%System32WinevtLogsApplication.evtx

  • 相关阅读:
    论文推荐:基于GE-MRI的多任务学习
    CVPR:使用完全交叉Transformer的小样本目标检测
    amlogic 多wifi 多bluetooh 兼容方案
    pycharm pro v2023.2.4(Python开发)
    matalb生成符合泊松分布的随机数,并进行测试是否符合
    测试报告 数据分析平台
    【卷王秘籍】学了三遍操作系统后,榨干知识点,让面试官自闭!
    java自定义注解及其使用
    【升职加薪秘籍】我在服务监控方面的实践(2)-监控组件配置
    如何生成钱包
  • 原文地址:https://blog.csdn.net/weixin_60092693/article/details/132940340