最近看完了一個應急響應的視頻
https://www.bilibili.com/video/BV1Yq4y1p7Vz?from=search&seid=4465743441233556739&spm_id_from=333.337.0.0
感覺還是不錯的，學到了很多

然后做了下面一些筆記

檢測webshell

通過文件屬性檢查



應急響應工具

勒索病毒應急響應自救手冊
https://mp.weixin.qq.com/s/L_gNPPi0i1Op7WHbmMaEng
勒索解密工具
https://mp.weixin.qq.com/s/EDJMABKxNMFYDrTEctFYRQ

惡意程序類型

各種單位遭受攻擊的側重點

踩坑

WEB入侵響應流程

被入侵后的排查思路

Windows



查詢PID對應的程序命令 tasklist | findstr PID號

可以直接用火絨劍查

Linux






Linux /proc 目錄 --記錄系統當前運行的進程
查看pid所對應的進程

cmdline 運行的內容
environ 環境變量


/usr/lib/systemd/system/目錄主頁為Linux啟動的服務

應急案例

一些敏感操作在日志中的表現形式



TCP連接過程

操作系統后門篇



計劃任務后門
Linux操作系統后門

…后門

雜項

常見服務的web日志存放位置
iis
Windows Server 2003 iis6日志路徑：C:\Windows\System32\LogFiles
Windows Server 2008 R2、2012、2016、2019 iis7以上日志路徑：C:\inetpub\logs\LogFiles

apache
Windows: <Apache安裝目錄>\logs\access.log | error.log
Linux: /usr/local/apache/logs/access_log | error_log

其他服務可尋找配置服務的配置文件，然后搜索log或out，可看到日志存儲路徑

web日志記錄的內容

安全應急響應白皮書
https://helpcdn.aliyun.com/document_detail/53549.html

Windows事件ID
4741 – 計算機帳戶已創建
4742 – 計算機帳戶已更改
4743 – 計算機帳戶已刪除
4739 – 域政策已經更改
4782 – 密碼hash帳戶被訪問
4727 – 安全全局組已經創建
4728 – 一名用戶被添加到安全全局組
4729 – 一名用戶從安全全局組解除
4730 – 安全全局組已經刪除
4731 – 安全本地組已經創建
4732 –一名用戶被添加到安全本地組
4733 –一名用戶被安全本地組解除
4734 –安全本地組已經刪除
4735 – 安全本地組已經更改
4737 –安全全局組已經更改
4754 –安全通用組已創建
4755 –安全通用組已創建更改
4756 –一名用戶被添加到安全通用組
4757 –一名用戶被安全通用組解除
4758 –安全本地組已經刪除
4720 – 用戶帳戶已創建
4722 – 用戶帳戶已啟用
4723 – 試圖更改帳戶密碼
4724 – 試圖重置帳戶密碼
4725 – 用戶帳戶被停用
4726 –用戶帳戶已刪除
4738 –用戶帳戶已被改變
4740 –用戶帳戶被鎖定
4765 – SID歷史記錄被添加到一個帳戶
4766 –嘗試添加SID歷史記錄到帳戶失敗
4767 –用戶帳戶被解鎖
4780 –對管理組成員的帳戶設置了ACL
4781 –帳戶名稱已經更改
4634 – 帳戶被注銷
4647 – 用戶發起注銷
4624 – 帳戶已成功登錄
4625 – 帳戶登錄失敗
4648 – 試圖使用明確的憑證登錄
4675 – SID被過濾
4649 – 發現重放攻擊
4778 – 會話被重新連接到Window Station
4779 – 會話斷開連接到Window Station
4800 – 工作站被鎖定
4801 – 工作站被解鎖
4802 – 屏幕保護程序啟用
4803 – 屏幕保護程序被禁用
5378 – 所要求的憑證代表是政策所不允許的
5632 – 要求對無線網絡進行驗證
5633 – 要求對有線網絡進行驗證
5140 – 網絡共享對象被訪問
5031 – Windows防火墻服務阻止一個應用程序接收網絡中的入站連接
4698 –計劃任務已創建
4699 –計劃任務已刪除
4700 –計劃任務已啟用
4701 –計劃任務已停用
4702 –計劃任務已更新
4657 –注冊表值被修改
5039 –注冊表項被虛擬化
4660 –對象已刪除
4663 –試圖訪問一個對象
4704 – 用戶權限已分配
4705 – 用戶權限已移除
4946 – 對Windows防火墻例外列表進行了修改，添加規則
4947 – 對Windows防火墻例外列表進行了修改，規則已修改
4948 – 對Windows防火墻例外列表進行了修改，規則已刪除
4949 – Windows防火墻設置已恢復到默認值
4950 – Windows防火墻設置已更改
4672 – 給新登錄分配特權
4673 – 要求特權服務
4674 – 試圖對特權對象嘗試操作
5024 – Windows防火墻服務已成功啟動
5025 – Windows防火墻服務已經被停止
5027 – Windows防火墻服務無法從本地存儲檢索安全政策，該服務將繼續執行目前的政策
5028 – Windows防火墻服務無法解析的新的安全政策，這項服務將繼續執行目前的政策
5029 – Windows防火墻服務無法初始化的驅動程序，這項服務將繼續執行目前的政策
5030 – Windows防火墻服務無法啟動
5032 – Windows防火墻無法通知用戶它阻止了接收入站連接的應用程序
5033 – Windows防火墻驅動程序已成功啟動
5034 – Windows防火墻驅動程序已經停止
5035 – Windows防火墻驅動程序未能啟動
5037 – Windows防火墻驅動程序檢測到關鍵運行錯誤，終止。
4608 -Windows正在啟動
4609 – Windows正在關機
4616 – 系統時間被改變
4621 – 管理員從CrashOnAuditFail回收系統，非管理員的用戶現在可以登錄，有些審計活動可能沒有被記錄
4697 – 系統中安裝服務器
4618 – 監測安全事件樣式已經發生

總結

以上是生活随笔為你收集整理的一些应急响应教学视频笔记的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。