概述日常运营分析过程中,很少对远控软件日志进行分析,如向日葵、Todesk,关于这两款软件在日常运营分析过程中,最常和这两款软件有关的,可能是违规软件使用告警,多数情况下内网禁止使用此类软件。恰好最近做过一次简单的向日葵日志分析,本文将对两款常见软件日志进行分析。平台上已有一篇《todesk日志分析》,可供大家参考,本文也借鉴了该文章提供的特征进行分析。TodeskToDesk是一款多平台远程控制软件,支持主流操作系统Windows、Linux、Mac、Android、iOS跨平台协同操作。默认情况下todesk日志文件保存在安装目录同级目录Logs下,在4.7以前的版本中,目录下有以serv
概述1.基本概念1.应急响应:1.指一个组织为了应对各种意外事件的发生所做的准备,以及在事件发生后所采取的措施。2.目的:减少突发事件造成的损失(包括人民群众的生命、财产损失、国家和企业的经济损失、以及相应的社会不良影响)3.处理的问题:通常为突发公共事件或突发的重大安全事件2.网络安全应急响应1.网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,保证系统连续、可靠、正常运行,网络服务不中断。2.网络安全应急响应(简称应急响应)是指针对已经发生或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全。2.应急响应应具备的能力1)数据采
全国职业技能大赛网络安全-金砖技能大赛——应急响应内存镜像分析(超详细解析)背景:作为信息安全技术人员必须能够掌握内容镜像分析、重要数据恢复、恶意文件分析等相关技能,利用这些技能我们能够第一时间分析相关恶意文件、分析蛛丝马迹帮助我们更好的完成应急响应工作。应急响应阶段题目主要包含:Windows内存镜像分析,Linux内存镜像分析,磁盘文件恢复,恶意程序分析等内容。项目1.内存镜像分析任务一Windows内存镜像分析你作为A公司的应急响应人员,请分析提供的内存文件按照下面的要求找到相关关键信息,完成应急响应事件。1、从内存中获取到用户admin的密码并且破解密码,以Flag{admin,pas
Linux应急处置/信息搜集/漏洞检测工具,支持基础配置/网络流量/任务计划/环境变量/用户信息/Services/bash/恶意文件/内核Rootkit/SSH/Webshell/挖矿文件/挖矿进程/供应链/服务器风险等13类70+项检查功能基础配置检查系统配置改动检查系统信息(IP地址/用户/开机时间/系统版本/Hostname/服务器SN)CPU使用率登录用户信息CPUTOP15内存TOP15磁盘剩余空间检查硬盘挂载常用软件检查/etc/hots网络/流量检查ifconfig网络流量端口监听对外开放端口网络连接TCP连接状态路由表路由转发DNSServerARP网卡混杂模式检查iptab
目录Webshell简介Webshell检测手段Webshell应急响应指南一. Webshell排查二.确定入侵时间三.Web日志分析四.漏洞分析五.漏洞复现六.清除Webshell并修复漏洞七.Webshell防御方法Webshell简介Webshell通常指以JSP、ASP、PHP等网页脚本文件形式存在的一种服务器可执行文件,一般带有文件操作、命令执行功能,是一种网页后门。攻击者在入侵网站后,通常会将Webshell后门文件与网站服务器Web目录下正常的网页文件混在一起,使用浏览器或专用客户端进行连接,从而得到一个服务器操作环境,以达到控制网站服务器的目的。Webshell检测手段基于流
查看本地用户,未发现异常:打开任务管理器,发现可疑进程F.exe:利用wmi查看进程信息,发现其位置在开始菜单启动项中:C:\Users\gy\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup同时,通过任务管理器,发现windows临时文件夹中也有该程序通过测试可知F.exe为勒索病毒程序:查看网络状态,除向日葵远控客户端外,未发现其余异常:检查注册表,发现病毒文件被设置为开机启动文件加密时间为20点29分查看安全日志,发现从20点8分到32分有一串来自同网段kali(10.10.10.3)远程爆破记录但并未发现爆破成功的
前言作者简介:不知名白帽,网络安全学习者。博客主页:https://blog.csdn.net/m0_63127854?type=blog网络安全交流社区:https://bbs.csdn.net/forums/angluoanquan目录注意:操作系统信息查看操作系统信息环境变量账户和组网卡进程计划任务日志文件其他查找隐藏用户查找克隆用户注意:开始-运行==Win+R操作系统信息查看操作系统信息1.开始-运行-msinfo32-软件环境-启动程序2.cmd-systeminfo查看操作系统信息3.开始-运行-appwiz.cpl-查看已安装的更新//查看补丁信息(cmd-wmicqfe)4.
目录一、应急响应流程1准备阶段2检测阶段3抑制阶段4根除阶段5恢复阶段6总结阶段现场处置流程二、系统排查1、系统信息2、用户信息3启动项4 任务计划5其他:Windows防火墙规则 三、进程排查1windows1.1任务管理器1.2cmd>tasklist1.3查看正在进行网络连接的进程cmd>netstat-ano|findstr'ESTABLISHED'2Linux2.1netstat-ap 2.2 特定pid对应的执行程序:ls-alt/proc/PID2.3查看进程打开的文件lsof-pPID2.4kill-9PID杀死进程2.5查看隐藏进程2.6查看占用资源较多的进程top四、服务排
网络安全--应急响应应急响应”对应的英文是“IncidentResponse”或“EmergencyResponse”等,通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措.网络安全应急响应:针对已经发生的或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全.目录:应急响应阶段:操作系统(windows和linux)应急响应:常见日志类别及存储:应急响应Windows和Linux操作系统步骤:系统日志分析 :安装LogFusion工具.(Windows系统日志)Linux系统日志.查找后门木马: 查看进程(PCHunter)Windows查杀木马:Li
网络安全--应急响应应急响应”对应的英文是“IncidentResponse”或“EmergencyResponse”等,通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措.网络安全应急响应:针对已经发生的或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全.目录:应急响应阶段:操作系统(windows和linux)应急响应:常见日志类别及存储:应急响应Windows和Linux操作系统步骤:系统日志分析 :安装LogFusion工具.(Windows系统日志)Linux系统日志.查找后门木马: 查看进程(PCHunter)Windows查杀木马:Li
