企业网站设计文档,德江网站建设,wordpress指定页面连接数据库,wordpress 滑到底部自动加载[第一部分] 网络安全事件响应
window操作系统服务器应急响应流程_windows 服务器应急响应靶场_云无迹的博客-CSDN博客
0、请提交攻击者攻击成功的第一时间#xff0c;格式#xff1a;YY:MM:DD hh:mm:ss1、请提交攻击者的浏览器版本2、请提交攻击者目录扫描所使用的工具名称…
[第一部分] 网络安全事件响应
window操作系统服务器应急响应流程_windows 服务器应急响应靶场_云无迹的博客-CSDN博客
0、请提交攻击者攻击成功的第一时间格式YY:MM:DD hh:mm:ss1、请提交攻击者的浏览器版本2、请提交攻击者目录扫描所使用的工具名称3、找到攻击者写入的恶意后门文件提交文件名完整路径4、找到攻击者隐藏在正常web应用代码中的恶意代码提交该文件名完整路径5、请提交内存中可疑进程的PID6、请提交攻击者执行过几次修改文件访问权限的命令7、请指出可疑进程采用的自动启动的方式
0、猜测如果可能是爆破入侵成功的时间那可以通过查看windows日志来查看事件分析
比如在运行–输入eventvwr.msc打开事件查看器可以筛选ID4723是修改密码的时间 更多事件ID可以在这里查看
宸极实验室—『杂项』一篇 Windows 应急响应的详细笔记 - 知乎 (zhihu.com)
应急响应-----Windows系统排查学习笔记_常以$结尾的用户名是计算机帐户_努力的渣渣黑的博客-CSDN博客
还可以通过查看中间件的日志来分析攻击事件和事件等其他更详细的信息
各类日志路径请看这里哦
一文了解应急响应中常用的日志收集方法 - FreeBuf网络安全行业门户
常见默认路径_各大中间件日志路径_黑仔丶的博客-CSDN博客
1、在中间件的访问日志中一般就都会有记载浏览器的版本所以这题很大可能会这样出。
2、扫描器的特征暂未找到
3、4、5、首先是可以通过日志来看上传的文件名和路径。
检查端口连接情况是否有远程连接、可疑连接。
检查方法
a、netstat -ano 查看目前的网络连接定位可疑的 ESTABLISHED
b、根据 netstat 定位出的 pid再通过 tasklist 命令进行进程定位 tasklist | findstr “PID”
6、应该还是查看日志可能有命令执行吧
如何从日志文件溯源出攻击手法_日志攻击分析_RuoLi_s的博客-CSDN博客
7、自启方式有4种可以看
软件开机自启动的四种方法 - 知乎 (zhihu.com)
Windows设置开机自启动的三种方式_快捷方式开机自启动_追寻上飞的博客-CSDN博客
最后有个都在推荐的日志分析工具Log Parser使用教程如下
日志分析工具Log Parser介绍 - 微软MVP(15-18)罗勇 - 博客园 (cnblogs.com)
[第二部分 数字取证调查]
1请提交用户目录下压缩包的解压密码2请提交root账户的登录密码3请指出攻击者通过什么命令实现提权操作4请指出内存中恶意进程的PID5请指出恶意进程加密文件的文件类型
原来的例题出自2023国赛第一套样题由于没有源文件所以还不知道怎么猜测
这里就先移步至关于金砖的内存取证例题吧
还有一个volatility使用教程的文章也给了一个例题可以熟悉
内存取证-volatility工具的使用 史上更全教程更全命令 - 路baby - 博客园 (cnblogs.com)
但是这题具体是关于linux的内存取证还没学会先埋一个坑学会再来补充。
任务3通信数据分析取证USB
这题猜测是一段流量分析可以看看上次关于金砖的流量分析题
使用Wireshark解密SSL/TLS数据包并调试_wireshark 如何 ssl_梦之痕bhl的博客-CSDN博客
2023金砖国家选拔(北部赛区) - 乙太的小屋 (52ying.top)
wirehark数据分析与取证logs.pcapng_wireshark log分析_落寞的魚丶的博客-CSDN博客
FTP协议抓包分析_ftp抓包分析_神童i的博客-CSDN博客
FTP协议解析之Wireshark报文分析_ftp报文分析_程序猿编码的博客-CSDN博客
任务4 基于MacOS计算机单机取证
对给定取证镜像文件进行分析搜寻证据关键字线索关键字为“evidence 1”、“evidence 2”、……、“evidence 10”有文本形式也有图片形式不区分大小写请提取和固定比赛要求的标的证据文件并按样例的格式要求填写相关信息证据文件在总文件数中所占比例不低于15%。取证的信息可能隐藏在正常的、已删除的或受损的文件中您可能需要运用编码转换技术、加解密技术、隐写技术、数据恢复技术还需要熟悉常用的文件格式如办公文档、压缩文档、图片等。
这题也没有原文件但有个周学长拷给我的海河工匠杯的环境工具是狗头哈哈哈Autopsy
答题过程请看这篇文章
单机取证 - 乙太的小屋 (52ying.top)
