应急响应&&取证

查看日志    eventvwr.exe

 

中了勒索病毒

1.查看download目录有没有病毒样本，C:\Users\86132\Downloads

2.查看系统开放端口

3.导出systeminfo

4.导出日志文件 所有的都要导出  wevtutil epl security d:\security.evtx 

5.分析日志文件log parser.exe

    LogParser.exe -i:输入文件格式 -o:输出文件格式 "执行语句">保存到文件

    LogParser.exe -i:evt -o:csv "select * from C:\Users\86132\Desktop\security.evtx">C:\Users\86132\Desktop\security.csv

 

日志ID：

4624（用户登陆成功）

4768、4776（用户账号验证成功）

 

从日志文件中筛选出用户登陆成功，账号验证成功的事件（管理员执行）

wevtutil qe security /q:"Event[System[(EventID=4624 or EventID=4768 or EventID=4776)]]" /f:text /rd:true /c:1 > EvtLogon.dat

 

查看隐藏账户

查看是否有shift后门

查看系统命令是否被替换

查看是否有ssh后门

查看是否存在隐藏的进程

查看是否有计划任务

 

 

crontab -u root -l    查看root用户的计划任务

cat /etc/crontab    查看/etc/crontab  （ubuntu的路径）  

ls -al /etc/cron.*    查看cron文件是否详细变化的信息

ll /var/spool/cron/    查看/var/spool/cron/   /var/spool/cron/ 这个目录下存放的是每个用户包括root的crontab任务，（centos的路径）

                                 tom建的crontab任务对应的文件就是/var/spool/cron/tom

检查系统命令

ls -alt /bin/ | head -n 10 

ls -alt /usr/sbin/ | head -n 10

ls -alt /usr/bin/ | head -n 10

 

top -c 快速查看进程信息，并获取进程文件位置

kill -9 PID     强制杀死进程

 

根据恶意进程，文件特征如：文件名，文件大小，文件创建时间，进行全盘搜索

grep -rni "shell.name"*    根据文件名特征查找

find / -size 122311c    根据文件大小特征查找

find / -mtime 1 -name *    根据文件创建时间查找

cd /proc/PID    进入到进程

cat * |string -n 5 |more    读取该进程内存中的信息

lsof -p PID    查看进程占用信息

lsof -i:5000    查看5000端口的占用情况

netstat -nap    查看不正常端口

lsof -n |grep delete    查找已经删除但是还在使用的文件