作为应急响应工程师，你是否真的懂应急响应？

admin

102737
文章

87
评论

2023年7月9日23:33:56评论51 views字数 1576阅读5分15秒阅读模式

前言

分享一个Windows数字取证和应急响应的手册，里面介绍的技术和工具都是经过实战检验过的。部分内容如下，因为文档比较大，有需要的可以通过下面的网盘链接进行下载。

目录如下：

1. 事件响应流程.. 4

1.1 事件响应流程介绍.. 4

1.2 不同事件初步响应和处置.. 7

1.2.1 内网横向传播.. 7

1.2.2 C&C通信.. 9

1.2.3 Blackhole malicious domain names. 10

2. 证据收集和提取.. 12

2.1 证据收集介绍.. 12

2.2 易失证据收集.. 13

2.2.1 系统运行相关.. 13

2.2.2 自启动项.. 14

2.2.3 内存提取.. 15

3 磁盘证据收集.. 19

3.1 分类收集.. 19

3.1.1 KAPE- Kroll Artifact Parser and Extractor19

3.1.2 CyLR. 21

3.1.3 卷影副本.. 21

3.2 磁盘镜像.. 23

3.2.1 FTK Imager23

4. Live分析及响应.. 27

4.2 网络连接分析.. 27

4.2 进程分析.. 29

4.3 文件系统分析.. 33

4.3.1 Live分析.. 33

4.3.2 MFT分析.. 36

4.4 用户分析.. 39

5. Windows常见后门排查.. 47

5.1 AutoStart Locations. 47

5.2 Windows服务.. 48

5.3 计划任务.. 49

5.4 DLL劫持.. 52

5.4.1 DLL搜索顺序劫持.. 52

5.4.2 Phantom(幽灵) DLL劫持.. 53

5.4.3 DLL Side-Loading. 53

5.5 WMI WMI后门实现及取证分析.. 54

5.5.1 WMI简介.. 54

5.5.2 WMI后门实现.. 54

5.5.3 WMI后门取证分析.. 56

6. 入侵分析.. 61

6.1 凭据窃取.. 61

6.1.1 Windows RDP 弱口令确认.. 61

6.2 程序执行.. 62

6.2.1 PSReadLine. 62

6.2.2 Prefetch. 64

6.2.3 Shimcache. 67

6.2.4 USN Journal68

6.3 事件日志分析.. 70

6.3.1 Windows日志分析速查表.. 70

6.3.2 Windows 日志分析常用工具.. 74

6.4 钓鱼样本分析.. 80

6.4.1 lnk钓鱼分析.. 80

6.5 USB取证分析.. 83

6.6 cobaltstrike分析.. 86

6.6.1 BeaconHunter86