<sub id="rh9z7"><thead id="rh9z7"><thead id="rh9z7"></thead></thead></sub><big id="rh9z7"><form id="rh9z7"><form id="rh9z7"></form></form></big>

    <cite id="rh9z7"><address id="rh9z7"><thead id="rh9z7"></thead></address></cite>
      <noframes id="rh9z7"><dfn id="rh9z7"><th id="rh9z7"></th></dfn><pre id="rh9z7"></pre>
      <p id="rh9z7"><big id="rh9z7"><span id="rh9z7"></span></big></p>

        <noframes id="rh9z7"><listing id="rh9z7"><nobr id="rh9z7"></nobr></listing>

        千鋒教育-做有情懷、有良心、有品質的職業教育機構

        手機站
        千鋒教育

        千鋒學習站 | 隨時隨地免費學

        千鋒教育

        掃一掃進入千鋒手機站

        領取全套視頻
        千鋒教育

        關注千鋒學習站小程序
        隨時隨地免費學習課程

        【熱點話題】 零基礎學IT IT學習教程 IT學習筆記 IT技術干貨 IT培訓機構 IT應聘面試 IT職場就業 Java培訓機構哪些好
        當前位置:首頁  >  關于學院  >  技術干貨  > Windows主機入侵痕跡排查辦法

        Windows主機入侵痕跡排查辦法

        來源:千鋒教育
        發布人:wjy
        時間: 2022-11-08 13:49:59 1667886599

          在攻防演練保障期間,一線工程師在實施主機入侵痕跡排查服務時可能面臨時間緊、任務急、需要排查的主機數量眾多情況。為了確保實施人員在有限的時間范圍內,可以高效且保證質量的前提下完成主機入侵痕跡排查工作,本人總結了自己的一些經驗,下面的內容特此分享主機入侵痕跡排查服務中重點、關鍵的排查項,僅作為參考使用。

          1、初步篩選排查資產

          一般情況下,客戶資產都比較多,想要對所有的資產主機進行入侵痕跡排查基本不太現實,等你全部都排查完了,攻擊者該做的事早就做完了,想要的目的也早就達到了。那么針對客戶資產量大的情況,我們應該怎么處理?

          首先,在排查前,作為項目經理,應該與客戶溝通好,取得授權,確認排查范圍和排查方案和辦法,客戶若是沒有授意或者同意,那么下面的操作都是違規操作,甚至有的還違法。

          取得客戶同意后,我們再從資產面臨的風險等級、資產的重要程度、攻擊者的攻擊思路、手法及目標選擇傾向幾個方面去初步篩選出排查資產。這里建議從以下資產范圍選?。?/p>

         ?、僭葙Y產:在以前的紅藍對抗、攻防演練、或者真實的黑客攻擊事件中被攻陷的主機,曾失陷資產應作為排查的重點對象。

         ?、诨ヂ摼W暴露脆弱資產:從互聯網暴露資產中篩選出使用了高危漏洞頻發的組件/應用(組件如Weblogic、JBoss、Fastjson、Shiro、Struts2等)。還有一個點需要注意,就是客戶是否具有有效的資產管理,是否能夠清晰明確識別出哪些資產用了什么組件,如果不能的話,只能通過之前的滲透測試結果來篩選出脆弱資產。

         ?、坳P鍵資產:如域控等可以導致大量主機失陷的集權類資產。

        Windows主機入侵痕跡排查辦法

          2、確定排查資產

          主機入侵痕跡排查工作建議在一周內對數量控制在20臺以內的主機進行排查。經過初步篩選的資產數量如果遠遠大于20臺主機,需要從資產里面進行二次篩選,如果存在曾失陷資產,排查主機范圍可以定為曾失陷資產;如果不存在曾失陷資產,排查主機范圍可以定為脆弱資產,具體可以根據客戶自身實際情況調整。

          需要注意是,如果排查資產中包含曾失陷資產的話,需要向客戶索要歷史攻防演練/應急等報告,在排查時需結合歷史報告和指導手冊內容一起進行排查,需要特別留意歷史報告中攻擊者的入侵痕跡是否已經完全清理。

          3、入侵痕跡排查

          在實際情況下,攻擊者在進行攻擊時使用的攻擊手法、攻擊思路、行為等各有差異,無論是考慮實現成本還是效率問題,都難以通過很精細很全面的排查項去實施主機入侵痕跡排查,但是我們可以從攻擊中可能會產生的一些比較共性的行為特征、關鍵的項進行排查。

          對于主機的入侵痕跡排查,主要從網絡連接、進程信息、后門賬號、計劃任務、登錄日志、自啟動項、文件等方面進行排查。比如,如果存在存活后門,主機可能會向C2發起網絡連接,因此可以從網絡連接排查入手,如果存在異常的網絡連接,則必然說明存在惡意的進程正在運行,則可以通過網絡連接定位到對應進程,再根據進程定位到惡意文件。如果攻擊者企圖維持主機控制權限的話,則可能會通過添加后門賬號、修改自啟動項,或者添加計劃任務等方式來維持權限,對應的我們可以通過排查賬號、自啟動項、計劃任務來發現相應的入侵痕跡。

        聲明:本站稿件版權均屬千鋒教育所有,未經許可不得擅自轉載。

        10年以上業內強師集結,手把手帶你蛻變精英

        請您保持通訊暢通,專屬學習老師24小時內將與您1V1溝通

        免費領取

        今日已有369人領取成功

        劉同學 138****2860 剛剛成功領取
        王同學 131****2015 剛剛成功領取
        張同學 133****4652 剛剛成功領取
        李同學 135****8607 剛剛成功領取
        楊同學 132****5667 剛剛成功領取
        岳同學 134****6652 剛剛成功領取
        梁同學 157****2950 剛剛成功領取
        劉同學 189****1015 剛剛成功領取
        張同學 155****4678 剛剛成功領取
        鄒同學 139****2907 剛剛成功領取
        董同學 138****2867 剛剛成功領取
        周同學 136****3602 剛剛成功領取

        猜你喜歡LIKE

        最新文章NEW

        相關推薦HOT

        更多>>

        快速通道 更多>>

        開班信息
        北京校區
        • 北京校區
        • 大連校區
        • 廣州校區
        • 成都校區
        • 杭州校區
        • 長沙校區
        • 合肥校區
        • 南京校區
        • 上海校區
        • 深圳校區
        • 武漢校區
        • 鄭州校區
        • 西安校區
        • 青島校區
        • 重慶校區
        • 太原校區
        • 沈陽校區

        亚洲老熟女 @ tubeum tv

        <sub id="rh9z7"><thead id="rh9z7"><thead id="rh9z7"></thead></thead></sub><big id="rh9z7"><form id="rh9z7"><form id="rh9z7"></form></form></big>

          <cite id="rh9z7"><address id="rh9z7"><thead id="rh9z7"></thead></address></cite>
            <noframes id="rh9z7"><dfn id="rh9z7"><th id="rh9z7"></th></dfn><pre id="rh9z7"></pre>
            <p id="rh9z7"><big id="rh9z7"><span id="rh9z7"></span></big></p>

              <noframes id="rh9z7"><listing id="rh9z7"><nobr id="rh9z7"></nobr></listing>