写点什么

网络攻防学习笔记 Day66

发布于: 4 小时前
网络攻防学习笔记 Day66

服务可以理解为运行在后台的进程。这些服务可以在计算机启动时自动启动,也可以暂停和重新启动,而且不显示任何用户界面。


1.Windows 系统

打开【运行】对话框,输入【services.msc】命令,可打开【服务】窗口,查看所有的服务项,包括服务的名称、描述、状态等。


2.Linux 系统

在命令行中输入【chkconfig--list】命令,可以查看系统运行的服务。使用【service--status-all】命令,可查看所有服务的状态。


一般,可以从以下几方面对文件痕迹进行排查:

(1)对恶意软件常用的敏感路径进行排查;

(2)在确定了应急响应事件的时间点后,对时间点前后的文件进行排查;

(3)对带有特征的恶意软件进行排查,这些特征包括代码关键字或关键函数、文件权限特征等。


1.Windows 系统

1)敏感目录在 Windows 系统中,恶意软件常会在以下位置驻留。

各个盘下的 temp(tmp)相关目录,对敏感目录进行的检查,一般是查看临时目录下是否有异常文件。


对于一些人工入侵的应急响应事件,有时入侵者会下载一些后续攻击的工具。Windows 系统要重点排查浏览器的历史记录、下载文件和 cookie 信息,查看是否有相关的恶意痕迹


查看用户 Recent 文件。Recent 文件主要存储了最近运行文件的快捷方式,可通过分析最近运行的文件,排查可疑文件。一般,Recent 文件在 Windows 系统中的存储位置如下:C:\Documents and Settings\Administrator(系统用户名)\Recent;C:\Documents and Settings\Default User\Recent。


可以在【运行】对话框中输入【%SystemRoot%\Prefetch\】命令,打开 Prefetch 文件夹。之后排查该文件夹下的文件。


2)时间点查找

应急响应事件发生后,需要先确认事件发生的时间点,然后排查时间点前、后的文件变动情况,从而缩小排查的范围。


可列出攻击日期内新增的文件,从而发现相关的恶意软件。在 Windows 系统中,可以在命令行中输入【forfiles】命令。


2.Linux 系统

1)敏感目录 Linux 系统常见的敏感目录如下。

/tmp 目录命令目录/usr/bin/usr/sbin 等经常作为恶意软件下载目录及相关文建被替换的目录。


~/.ssh 及/etc/ssh 也经常作为一些后门配置的路径,需要重点检查。


2)时间点查找

通过列出攻击日期内变动的文件,可发现相关的恶意软件。通过【find】命令可对某一时间段内增加的文件进行查找。


对系统命令进行排查。【ls】和【ps】等命令很可能被攻击者恶意替换,所以可以使用【ls-alt/bin】命令,查看命令目录中相关系统命令的修改时间,从而进行排查。


Linux 的后门检测,可以使用第三方查杀工具(如 chkrootkit、rkhunter)进行查杀。chkrootkit 工具用来监测 rootkit 是否被安装到当前系统中。


排查 SUID 程序,即对于一些设置了 SUID 权限的程序进行排查,可以使用【find/-type f-perm-04000-ls-uid 0 2>/dev/null】命令。


发布于: 4 小时前阅读数: 6
用户头像

还未添加个人签名 2018.11.30 加入

还未添加个人简介

评论

发布
暂无评论
网络攻防学习笔记 Day66