一、前言

        马上就端午节啦，提前祝大家端午快乐，顺便把之前的六一也给补上，希望大家每天的生活都跟童话世界一样美好，充满希望（虽然现实很残酷）。

        最近更的没有以前勤快了，一是在实习，每天东奔西走的，累的像狗，回到家连书包都不想打开，二是突然不知道该写些什么了，可能学习新知识的时间变少了，肚子里已经吐不出墨水了，如果大家有什么建议，赶紧给我提一提。

        前阵子值班的时候被叫去应急，慌的一批啊，这对我一个从未实地接触过应急的小白来说是挑战啊！！！还是只有我一个人！！！心里一万匹草泥马奔过...谁让我总是临时抱佛脚，临时抱佛脚呢...于是乎，想写一篇关于应急响应的博客，也方便之后在遇到突发事件的时候能直接查一查看一看，便于抱佛脚bushi。

二、正文

注：本文不对应急响应做详细的流程介绍，只提及一些可能会用到的命令和方法

2.1 Windows

2.1.1 查看本机的端口情况

netstat -ano

 里面列出了本地地址、外部地址以及通信的状态和进程号PID

 有一张从别人地方看来的图，写的非常的详细，可供参考

2.1.2  根据PID查看进程（tasklist是查看进程的详细信息）

tasklist | findstr "PID"

 

2.1.3 根据可疑IP查看网络连接情况

netstat -ano | findstr "IP"

 2.1.4 查看用户（是否存在可疑账号）

net user

 或者可以Win+R->lusrmgr.msc

win10的家庭版可能会出现下面的错误 

 在控制面板查看用户账户就好了

 2.1.5 如果存在新建的可疑账户，可以查看用户目录，新建账号会生成一个用户目录。查看最近打开，%UserProfile%\Recent的文件进行分析

 特别是exe、txt、csv等异常可疑文件要注意

2.1.6 查看计划任务

控制面板->计划任务

 

Win+R->cmd->schtasks

 2.1.7 查看服务

Win+R->services.msc

 2.1.8 查看系统版本以及补丁信息

Win+R->cmd->systeminfo

 2.1.9 查看任务管理器

直接鼠标右键任务栏或者Win+R->taskmgr，有时候任务管理器还是很有用处的哦

 怎么根据进程找到相关文件的具体位置呢？

在任务管理器选中该进程任务，右击选择属性即可

 2.1.10 日志分析（重头大戏！！！）

之前写过，不再赘述

(6条消息) 【每天学习一点新知识】Windows日志分析_RexHarrr的博客-CSDN博客

3.1 Linux

3.1.1 使用rookithunter检测rookit木马文件

下载和安装

wget https://sourceforge.net/projects/rkhunter/files/rkhunter/1.4.6/rkhunter-1.4.6.tar.gz
tar -zxvf rkhunterrkhunter-1.4.6.tar.gz
cd rkhunter-1.4.6
./installer.sh --layout default --install

更新

rkhunter --update #更新rkhunter版本
rkhunter --propupd #更新rkhunter的特征数据库

使用

rkhunter --check --sk #自动检测每个部分中间不需要暂停
rkhunter --check #自动检测每个部分，每监测完一个部分中断一次，输入enter之后会继续检测下个部分
rkhunter -c --sk --rwo #自动检测并只显示告警信息

3.1.2 查当前存在的连接与监听端口

netstat -anpl

 3.1.3 查看进程ps

ps -ef #查看当前系统上运行的所有进程与其使用的命令
ps aux #查看当前系统运行的所有进程与其占用的cpu与内存情况
top #动态查询当前系统运行中的所有进程与其占用的cpu情况

 3.1.4 查看登录情况

last  #显示用户的最近登陆信息
who  #显示当前谁还登陆在服务器上
lastb  #显示登录失败的用户的信息

 3.1.5 查看空口令和root权限账号

awk -F: '($2=="")' /etc/shadow 查看空口令账号。
awk -F: '($3==0)' /etc/passwd 查看UID为零的账号。

3.1.6 查看当前目录下文件的修改时间

ls -lat

3.1.7 日志分析（细）

(6条消息) 【每天学习一点新知识】Linux日志分析_RexHarrr的博客-CSDN博客

 

三、总结

欢迎补充~