网络攻防学习笔记 Day57
常用的内存分析工具如下:
Volatility:一款开源内存取证框架。
Evolve:Volatility 内存取证框架的 Web 界面。
Rekall :用于从 RAM 中提取样本的开源工具。
inVtero.net :支持 hypervisor 的 Windows x64 高级内存分析。
Memoryze :由 Mandiant 开发的 Memoryze 是一个免费的内存取证软件,可以帮助应急响应人员在内存中定位恶意部位,Memoryze 也可以分析内存镜像或者装成带有许多分析插件的系统,仅支持 Windows。
常见 Linux 日志位置:
/var/log/boot.log:系统开机引导日志。
/var/log/messages:进程日志文件汇总,包过系统整体日志,很有价值。
/var/log/secure:与安全相关的日志。
/var/log/httpd:Apache 服务日志。
/var/log/httpd/access.log:Apache 服务 Web 访问日志。
/var/log/httpd/access.err:Apache 服务 Web 访问错误日志。
/var/log/mysql:MySQL 服务日志。
/var/log/xferlog:FTP 服务日志。
~/.bash_history:用户 bash 命令日志。
替换操作,s 命令:
sed's/GET/POST/'access.log:替换文本中的字符串,将 GET 替换成 POST。
sed-n's/test/TEST/p'file:-n 选项和 p 命令一起使用表示只打印那些发生替换的行。
sed-i's/book/books/g'file:直接对源文件进行编辑替换。
sed's/book/books/2g'file:从第二行开始匹配替换。
删除操作,d 命令:
sed'/^$/d'file:删除空白符。
sed'2d'file:删除文件的第二行。
sed'2,$d'file:删除文件的第 2 行到末尾所有行。
sed'$d'file:删除文件最后一行。
sed'/^test/d'file:删除文件中所有开头是 test 的行。
Awk 脚本基本结构
awk'BEGIN{ print"start"}pattern{ commands }END{ print"end"}'file
一个 Awk 脚本通常由 BEGIN 语句块、能够使用模式匹配的通用语句块、END 语句块三部分组成,这三个部分是可选的。任意一个部分都可以不出现在脚本中,脚本通常是被单引号或双引号中。
针对 Web 服务的逆向分析可以使用一些自动化的工具来实现,比如 Webshellkill 和 Backdoorrman。也可以人工分析实现,审查未知新文件的源码即可。
一般而言,apt 的攻击过程分为:定向情报搜集、单点攻击突破、控制通道构建、内部横向渗透、数据收集上传。
版权声明: 本文为 InfoQ 作者【穿过生命散发芬芳】的原创文章。
原文链接:【http://xie.infoq.cn/article/6e5454546d9ca47f87f1c3d41】。文章转载请联系作者。
评论