溯源分析可以揭示攻击者在网络中的行动路径,通过分析攻击过程中的各个环节,包括入侵点、传播方式、横向移动路径等,可以了解攻击者是如何进入系统、获取权限以及传播恶意活动的。
高质量的溯源分析可以为安全团队提供足够的信息,帮助其理解攻击的威胁程度、影响范围,制定更加高效精准的应对策略。
溯源分析思路:溯源分析的整体思路可以依据:文件排查-进程排查-系统信息排查-工具排查-日志排查,五个进程。
威胁情报平台
- https://x.threatbook.cn/
- https://ti.qianxin.com/
- https://ti.360.cn/
- https://www.venuseye.com.cn/
病毒溯源分析工具Windows
1、病毒分析
- PCHunter:
http://www.xuetr.com - 火绒剑:
https://www.huorong.cnProcess - Explorer:
https://docs.microsoft.com/zh-cn/sysinternals/downloads/process- - explorerautoruns:
https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns
2. 病毒查杀
- 卡巴斯基:
http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe - 火绒安全软件:
https://www.huorong.cn
3.webshell查杀
- D盾查杀:
http://www.d99net.net/index.asp
- 河马webshell查杀:
http://www.shellpub.com
常用分析工具Windows
- 系统启动相关:
Autoruns、Msconfig、Net - 系统进程分析监控:
Process explorer、Process Monitor、Tasklist - 端口网络状态:
Tcpview、Currports、Netstat - 综合安全检测:
Wsyscheck、PowerTool、PCHunter、WIN64AST
病毒溯源分析工具linux
Rootkit查杀
chkrootkit:http://www.chkrootkit.org
webshell查杀
linux版河马:http://www.shellpub.com
linux安全检查脚本
Github项目地址:
- https://github.com/grayddq/GScan
- https://github.com/ppabc/security_check
- https://github.com/T0xst/linux
常用分析工具linux
rookit检查:
Rkhunter、chkrookit、LiveCD引导拯救光盘
系统相关命令:
Ps、pstree、pmap、top、killls、strings、strace、readelf、lsof、netstatChkconfig、crontab
原文始发于微信公众号(东方隐侠安全团队):新年大爽文之《啥?我第一次溯源 就溯到人了?》
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论