网络攻防学习笔记 Day56

应急响应的准备阶段主要工作分为两个部分，应急预案的编制和应急响应的具体准备工作，包括但不限于小组划分、日常运维检测、确定影响范围、事件类型判断、事件上报等。

磁盘镜像备份工具：

·GetData Forensic Imager：一个基于 Windows 程序，将常见的文件格式进行获取\转换\验证取证。·Guymager：一个用于 Linux 上媒体采集的免费镜像取证器。

·DataNumen Disk Image：一款免费管理硬盘驱动器镜像创建制作和恢复的软件。

·Clonezilla：一个用于 Linux，Free-Net-OpenBSD，Mac OS X，Windows 以及 Minix 的分区和磁盘克隆程序。它支持所有主要的文件系统，包括 EXT，NTFS，FAT，XFS，JFS 和 Btrfs，LVM2，以及 VMWare 的企业集群文件系统 VMFS3 和 VMFS5。

内存数据收集工具：

·Belkasoft Live RAM Capturer：轻量级取证工具，即使有反调试/反转储的系统保护也可以方便地提取全部易失性内存的内容。

·Linux Memory Grabber：用于 Dump Linux 内存并创建 Volatility 配置文件的脚本。

·Magnet RAM Capture：一个免费的镜像工具，可以捕获可疑计算机中的物理内存，支持最新版的 Windows。

·Linux 命令 dd：dd if=/dev/fmem of=sun.txt bs=1M count=1。

进程数据收集：

·Microsoft User Mode Process Dumper：用户模式下的进程 dump 工具，可以 dump 任意正在运行的 Win32 进程内存映像。

·Procdump：轻量级好用的抓取进程 dump 的工具。

·gdb：开源调试工具，可抓取进程信息。

基础信息：

windows PsTools 工具套件中的 psinfo 工具、systeminfo 等命令；

Linux 命令 uname-a、lsb_release-a、cat /proc/version、cat /etc/issue 等命令进行查看。

服务信息：

windows PsTools 工具套件中的 psservice 工具、计算机管理—服务；

Linux 命令 service--status-all 等命令。

登录信息：

windows PsTools 工具套件中的 logonsessions 工具，psloggedon 工具、计算机管理事件查看器；

Linux 命令 w、who、last、lastb。

安全策略：

Windows 管理工具—本地安全策略（查找 secpol.msc）；

Linux 命令 iptables-L、firewall-cmd--zone=public-list-ports 等命令。

启动项：

Windows 启动文件、注册表、配置文件等，PowerTool、Autoruns、PCHunter 等工具查看；Linux 命令 chkconfig--list、ntsysv、cat /etc/rc.local 等命令。

定时任务：

Windows 系统工具—任务计划程序；

Linux 命令 crontab-l 等命令。

用户信息：

Windows net user 命令、计算机管理—本地用户和组；

Linux 命令 cat /etc/passwd。

截图工具：跨平台截图工具 Snipaste。

文件相关：文件的修改日期、新增的可疑文件、最近使用的文件、浏览器下载文件等。

环境变量：

Windows Path 变量；

Linux 查看/etc/profile 和～/.bashrc。

基础数据分析工具：

Notepad++：开源代码编辑器，支持多种编程语言；

Sublime：商业代码编辑器，支持多种编程语言；

Wxmedit：开源跨平台十六进制编辑器；

EverEdit：内置 Markdown 预览与十六进制编辑的文本编辑器。