应急响应-文件痕迹排查

news2024/11/14 10:59:42

文件痕迹排查

  • 文件痕迹排查
  • Windows文件痕迹排查
    • 敏感目录
    • 时间点文件排查
  • Linux文件痕迹排查
    • 敏感目录
    • 时间点排查
    • 特殊文件

文件痕迹排查

在应急响应排查的过程中,由于大部分的恶意软件、木马、后门等都会在文件维度上留下痕迹,因此对文件痕迹的排查必不可少。一般可以从以下几个方面对文件痕迹进行排查:

  1. 对恶意软件常用的敏感路径进行排查;
  2. 在确定了应急响应事件的时间点后,对时间点前后的文件进行排查;
  3. 对带有特征的恶意软件进行排查,这些特性包括代码关键字或关键函数、文件权限特征等。

Windows文件痕迹排查

敏感目录

在Windows系统中,恶意软件常会在一下位置驻留。

  1. temp(tmp)相关目录。有些恶意程序释放子体(即恶意程序运行时投放出文件)一般会在程序中写好投放的路径,由于不同系统版本的路径有所差异,但是临时文件的路径相对统一,因此在程序中写好的路径一般是临时目录。对敏感目录进行的检查,一般是查看临时目录下是否有异常文件。
  2. 对于一些人工入侵的应急响应事件,有时入侵者会下载一些后续攻击的工具。windwos系统要重点排查浏览器的历史记录、下载文件、和cookie信息,查看是否有相关的恶意进程。
  3. 查看用户的Recent文件。Recent文件主要存储了最近运行文件的快捷方式,可以通过分析最近运行的文件,排查可疑文件。一般Recent文件在Windows系统中的存储位置如下:

(1)C:\Documents and Settings\Administrator\Recent
【组织】>>【文件夹和搜索选项】>>【查看】>>勾选【显示隐藏文件】
在这里插入图片描述
没有权限打开【Documents and Settings】文件夹的话
在这里插入图片描述在这里插入图片描述
对这些临时文件进行排查。
在这里插入图片描述
感觉有问题的文件放到微步去跑下。

(2)C:\Documents and Settings\Default User\Recent
在这里插入图片描述

时间点文件排查

时间点查找应急响应事件发生后,需要先确认事件发生的时间点,然后排查时间点前后的文件变动情况,从而缩小排查的范围。

  1. 可列出攻击日期内新增的文件,从而发现相关的恶意软件。在Windows系统中,可以在命令行输入【forfiles】命令,查看相应文件。
forfiles /m *.exe /d +2022/8/1 /s /p c:\ /c "cmd /c echo @path @fdate @ ftime"

在这里插入图片描述

  1. 对文件的创建时间、修改时间、访问时间进行排查。对于入侵的应急响应时间,有时攻击者会为了掩饰其入侵行为,对文档的相应时间进行修改,以规避一些排查策略。例如,攻击者可能通过“菜刀类”的工具改变修改时间。因此,如果文件的相关时间存在明显的逻辑问题,需要重点排查。

Linux文件痕迹排查

敏感目录

Linux常见的敏感目录如下:

  1. /tmp目录和命令目录/usr/bin、/usr/sbin等经常作为恶意软件下载的目录及相关文件被替换的目录
  2. ~/.ssh和/etc/ssh也经常作为一些后门配置路径,需要重点排查。

时间点排查

通过列出攻击日期内变动的文件,可以发现相关的恶意软件。通过【find】命令可对某一时间端内增减的文件进行查找。

find:在指定的目录下查找文件;
-mtime -n/+n:按文件更改时间来查找文件;
-atime -n/+n:按文件访问时间来查找文件;
-ctime -n/+n:按文件创建时间来查找文件;
-n:在N天以内
+n:在N天前

特殊文件

系统中的恶意文件存在特定的设置、和关键字信息等。Linux系统中的几种特殊文件类型可以按照以下方法进行排查:

  1. 特殊权限文件查找
find /tmp -perm 777
查找777权限的文件

在这里插入图片描述

  1. 对系统命令进行排查
    【ls】和【ps】等命令有时候会被攻击者恶意替换,所以可以使用【ls-alt/bin】命令,查看命令目录中相关系统命令的修改时间,从而进行排查。
    在这里插入图片描述

使用【ls-alh /tmp】命令查看相关文件的大小,若明显偏大,则文件很可能被替换。
在这里插入图片描述

  1. 排查SUID程序
    对一些设置了SUID权限的程序进行排查,可以使用【find / -type f -perm -04000】
    在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/23432.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【数据挖掘】关联规则挖掘

关联规则挖掘 一、基本概念 概念 关联规则挖掘(Association rules mining) 在数据集中找到各项数据之间的关联关系。 项目(Item) IDItems bought10A,B,D20A,C,D30A,D,E 支持度(support) 项集{x,y}\{x,y\}{x,y}在总项集中出现的概率(x,yx,yx,y同时出现) Support(x→y)P(x,…

使用ESP32连接腾讯云实现远程控制方法

​大家好,上次给大家分享了如何使用ESP32实现蓝牙通信,今天跟大家聊聊如何使用ESP32连接腾讯云实现远程控制。本次实验用到MQTT协议,同样,我用miropython编写程序实现,最终可以通过腾讯连连微信小程序添加设备来发布主…

【GamePlay】两个ScrollView插件,Super ScrollView UIExtensions

前言 记录一下最近了解使用的两个滚动列表插件,UIExtensions 和Super ScrollView 。 原生的ScrollView 只能滚动 Viewport中Content范围内的物体,如果要使用必须得做一些功能扩展,很不方便,于是找了这两个插件。 前者不只是滚动…

一文了解JVM整体设计

一、JDK / JRE / JVM二、.Java 文件运行过程三、JVM运行时数据区3.1 Method Area3.2 Heap3.3 Java Virtual Machine Stacks3.4 Native Method Stacks3.5 The PC Register四、JVM内存模型4.1 JVM对象创建和回收过程五、垃圾收集5.1 确定垃圾收集对象5.1.1 引用计数法5.1.2 可达性…

2023年英语二大作文押题猜想(达立易考)

又到了考前大开脑洞的时间了!每年一到这个时间点,关于押题猜题的话题就会铺天盖地而来,众多名师大咖更是会集毕生所学,期待可以在这个环节押中部分题目彰显实力,其中主观题就是大家集中关注的重要热点模块。押题听起来…

声纹识别开源工具 ASV-Subtools

今天非常荣幸有机会在Speechhome语音技术研讨会上分享我们团队在开源项目上的一些工作。今天我分享的主题是声纹识别开源工具ASV-Subtools。 今天我分享的主要有5个部分的内容,分别是背景介绍、工具介绍、实验结果、Subtools工程化、总结与展望。其中Subtools工程化…

【ROS】机械人开发五--ROS基本概念的程序实现

机械人开发五--ROS基本概念的程序实现一、开发工具二、RoboWare Studio的基本使用2.1 软件启动2.2 修改界面语言2.3 使用2.4 编译文件2.5 卸载三、话题通信四、话题的代码编写4.1 发布端4.2 接收端4.3 测试五、自定义消息5.1 自定义消息类型5.2 自定义消息发布端5.3 自定义消息…

el-menu动态加载路由,菜单的解决方案

先看需要实现的效果 这里有一级也有二级菜单,注意二级菜单的父目录(”选项设置“点击不会跳转,只是展开目录),然后点击去详情页,需要跳到一个隐藏的路由,不在菜单展示的路由 还有一点要注意&…

LaTex常用技巧5:公式太长换行并加大括号

使用LaTex做笔记的时候发现公式太长,一行会超出页面,于是想到换行。 原来的代码,这里使用了包bm,测试的时候前面请使用\usepackage{bm}。 \begin{equation}_{i}^{G} {\bm{a}}\begin{cases} _{i}^{i-1}\ddot{\bm{p}}, &i1\\_…

web课程设计网页规划与设计 html+css+javascript+jquery+bootstarp响应式游戏网站Bootstrap模板(24页)

🎉精彩专栏推荐👇🏻👇🏻👇🏻 ✍️ 作者简介: 一个热爱把逻辑思维转变为代码的技术博主 💂 作者主页: 【主页——🚀获取更多优质源码】 🎓 web前端期末大作业…

网址,URL,域名,IP地址,DNS,域名解析(转载)

一、基本常识 互联网上的所有数据都是存储在主机(服务器)上互联网中的所有主机都拥有唯一的IP地址互联网中任意两台主机通信都是通过IP地址来实现 上网的实质 就是获取网址对应主机上的数据并在用户主机上进行展示(浏览器上) 疑问:互联网中的任意两台主机通信是依…

详细介绍百度ERNIE:通过知识集成增强表示

文章目录ERNIE简介相关工作采用矢量表示单词 ,上下文无关的表示采用上下文来预测丢失的单词,没有考虑先验知识采用异构数据ERNIE的详细实现Transformer编码器知识整合基本级别掩码短语级别掩码实体级别掩码实验异构语料库预训练DLM(对话语言模…

python自动化:桌面壁纸下载器,满足你对桌面壁纸的无限畅想!

随着计算机性能的提升,人们对计算机个性化的要求也越来越高了,自己使用的计算机当然要设置成自己喜欢的风格! 对于桌面壁纸有着强烈要求的朋友们有福了,推荐一个微软免费畅玩无限高清壁纸的官网。 https://cn.bing.com/images/t…

深入学习数组

目录 一、一维数组 1、数组的创建和初始化 2、一维数组的使用 3、*一维数组在内存中的存储 二、二维数组 1、二维数组的创建和初始化 2、二维数组的使用 3、*二维数组在内存中的存储 三、数组越界 一、一维数组 1、数组的创建和初始化 数组是一组相同类型元素的集合。 数组…

UNIAPP实战项目笔记42 购物车页面新增收货地址

UNIAPP实战项目笔记42 购物车页面新增收货地址 设置新增收货地址页面布局和功能 具体内容图片自己替换哈&#xff0c;随便找了个图片的做示例 用到了vuex的状态机,具体位置见目录结构 代码 my-add-path.vue 页面部分 my-add-path.vue 设置页面布局 用到了vuex的状态机 <te…

steam搬砖副业,月入2万+,内含全套讲解

Steam平台是一款国外知名的数字游戏社交平台&#xff0c;steam游戏平台起初只是一个整合游戏的下载平台&#xff0c;随着软件的发展&#xff0c;逐渐演变为了游戏社交平台&#xff0c;steam是世界上目前最大的游戏平台之一&#xff0c;而「网易BUFF」是一款由网易公司推出&…

Unity3D简陋版跑酷游戏

目录 功能演示 功能简介 制作步骤 功能演示 链接&#xff1a;https://pan.baidu.com/s/1E_2JXWlVJNf3S5l-dH2UuQ提取码&#xff1a;dm5e 视频教学:Unity3D大作业 超级简陋版的跑酷游戏_哔哩哔哩_bilibili 功能简介 本次跑酷游戏主要从跑道&#xff0c;UI设计&#xff0c;…

[附源码]java毕业设计小区宠物管理系统

项目运行 环境配置&#xff1a; Jdk1.8 Tomcat7.0 Mysql HBuilderX&#xff08;Webstorm也行&#xff09; Eclispe&#xff08;IntelliJ IDEA,Eclispe,MyEclispe,Sts都支持&#xff09;。 项目技术&#xff1a; SSM mybatis Maven Vue 等等组成&#xff0c;B/S模式 M…

MyBatis--获取参数值

MyBatis获取参数值的两种方式 &#xff1a; ${} 和 #{} ${}的本质是字符串 &#xff0c;#{}的本质是占位符赋值 ${}使用字符串拼接的方式拼接sql &#xff0c;若为字符串类型或日期类型的字段进行赋值时&#xff0c;需要手动加单引号。 #{}使用占位符赋值的方式拼接sql &#x…

[附源码]java毕业设计小锅米线点餐管理系统

项目运行 环境配置&#xff1a; Jdk1.8 Tomcat7.0 Mysql HBuilderX&#xff08;Webstorm也行&#xff09; Eclispe&#xff08;IntelliJ IDEA,Eclispe,MyEclispe,Sts都支持&#xff09;。 项目技术&#xff1a; SSM mybatis Maven Vue 等等组成&#xff0c;B/S模式 M…