应急与溯源

· 共 9 篇

常用信息收集命令 1 管理用户 1.1 查看本机上的用户帐号列表 gl 命令: net user 执行结果: C:UsersAdministratornet user \SRV-WEB-KIT 的用户帐户 -------------------------------------…

攻击者手法全面升级，在Tomcat服务器中留下了更深层的后门。请彻底排查所有入侵痕迹，只有完美清除所有后门，才能获取最终的flag！账号 root 密码 idgfxuxvr2tqekhz Tomcat后门程序先通过netstat命令来查看一下java进程 gl netstat…

0x00 整体流程 0x01 梳理现场情况确认攻击信息准确性安全设备、人、上级/行业/监管单位的通报都不见得是准确的，做二次研判是必要的，能够帮我应急响应人员确定整体排查思路询问历史被攻击情况、历史通报、历史误报历史攻击可能会留下攻击遗产，成为未来新一轮攻击事件的发起点，…

0x00 整体流程 Linux 系统远控后门应急响应全流程，从 IOC 信息采集、攻击研判入手，覆盖通过 EDR / 态势感知定位恶意文件与进程、异常进程线程排查、进程查杀、恶意文件删除等实操环节，附带完整 Linux 命令 0x01 梳理现场情况采集并确定 ioc 信息 - …

0x00 整体流程 0x01 梳理现场情况 0x02 获取异常进程pid - CPU占用 - top -c -o %CPU - -c 参数显示进程的命令行参数 - -p 参数指定进程的pid - ps -w -eo pid,ppid,%mem,%cpu,cmd –sort=-%c…

银狐介绍银狐是一款专门针对企事业单位管理、财务等从业人员进行攻击的木马病毒变种之一，通过微信、QQ、邮件以及伪造工具网站等渠道进行钓鱼攻击，主要面向政府、高校及企事业单位等关键行业，攻击目标集中在财务和会计领域的专业人员，多采用进程注入、无文件攻击及签名伪造等多种技术绕过安全防…

Linux系统备份和恢复知识点知识点1：文件系统快照 - 对于文件系统来说，快照是文件系统的一个即时拷贝，它包含了文件系统在快照生成时刻所有的信息，而且本身也是一个完整可用的副本。知识点2：分区镜像 - 分区镜像是对磁盘分区进行bit级别的拷贝，它包含了分区中的一切信息，包…

应急响应分析 1 、排查病毒检查 CPU 使用情况挖矿病毒通常会占用大量的CPU资源。使用以下命令检查系统资源使用情况：查找异常的高CPU使用进程，这里发现了可疑进程top1和grep。 top 检查网络连接发现有几个内网ip连接来的，怀疑是黑客横向过来的。 gl nets…

前言近期银狐木马持续迭代变种，以 “税务稽查”“内部违纪名单” 等社会工程学诱饵精准攻击企业办公人员，隐蔽性与危害性显著提升。本文通过静态逆向、沙箱分析、动态运行三位一体的方式，深度拆解该样本的环境检测、自定义哈希 API 调用、进程注入与持久化机制，还原完整攻击链路，为应…