网络攻防学习笔记 Day66

服务可以理解为运行在后台的进程。这些服务可以在计算机启动时自动启动，也可以暂停和重新启动，而且不显示任何用户界面。

1.Windows 系统

打开【运行】对话框，输入【services.msc】命令，可打开【服务】窗口，查看所有的服务项，包括服务的名称、描述、状态等。

2.Linux 系统

在命令行中输入【chkconfig--list】命令，可以查看系统运行的服务。使用【service--status-all】命令，可查看所有服务的状态。

一般，可以从以下几方面对文件痕迹进行排查：

（1）对恶意软件常用的敏感路径进行排查；

（2）在确定了应急响应事件的时间点后，对时间点前后的文件进行排查；

（3）对带有特征的恶意软件进行排查，这些特征包括代码关键字或关键函数、文件权限特征等。

1.Windows 系统

1）敏感目录在 Windows 系统中，恶意软件常会在以下位置驻留。

各个盘下的 temp（tmp）相关目录，对敏感目录进行的检查，一般是查看临时目录下是否有异常文件。

对于一些人工入侵的应急响应事件，有时入侵者会下载一些后续攻击的工具。Windows 系统要重点排查浏览器的历史记录、下载文件和 cookie 信息，查看是否有相关的恶意痕迹。

查看用户 Recent 文件。Recent 文件主要存储了最近运行文件的快捷方式，可通过分析最近运行的文件，排查可疑文件。一般，Recent 文件在 Windows 系统中的存储位置如下：C：\Documents and Settings\Administrator（系统用户名）\Recent；C:\Documents and Settings\Default User\Recent。

可以在【运行】对话框中输入【%SystemRoot%\Prefetch\】命令，打开 Prefetch 文件夹。之后排查该文件夹下的文件。

2）时间点查找

应急响应事件发生后，需要先确认事件发生的时间点，然后排查时间点前、后的文件变动情况，从而缩小排查的范围。

可列出攻击日期内新增的文件，从而发现相关的恶意软件。在 Windows 系统中，可以在命令行中输入【forfiles】命令。

2.Linux 系统

1）敏感目录 Linux 系统常见的敏感目录如下。

/tmp 目录和命令目录/usr/bin/usr/sbin 等经常作为恶意软件下载目录及相关文建被替换的目录。

～/.ssh 及/etc/ssh 也经常作为一些后门配置的路径，需要重点检查。

2）时间点查找

通过列出攻击日期内变动的文件，可发现相关的恶意软件。通过【find】命令可对某一时间段内增加的文件进行查找。

对系统命令进行排查。【ls】和【ps】等命令很可能被攻击者恶意替换，所以可以使用【ls-alt/bin】命令，查看命令目录中相关系统命令的修改时间，从而进行排查。

Linux 的后门检测，可以使用第三方查杀工具（如 chkrootkit、rkhunter）进行查杀。chkrootkit 工具用来监测 rootkit 是否被安装到当前系统中。

排查 SUID 程序，即对于一些设置了 SUID 权限的程序进行排查，可以使用【find/-type f-perm-04000-ls-uid 0 2>/dev/null】命令。