应急响应与溯源导图(2) conv.docxVIP

???:?????捫呷o安全性日志：C:\Windows\System32\winevt\Logs\Security.evtx

???:?????捫呷o

系统日志：C:\Windows\System32\winevt\Logs\System.evtx

应用程序日志：C:\Windows\System32\Winevt\Logs\Application.evtx

Windows

日志分析

敏感事件ID：

分析工具：

4624：登录成功

4625：登录失败

4648：尝试显式凭据登录

4672：授予特殊权限

4720：新建用户

4735：安全组更改

4799：枚举组用户

LogonTracer(可视化)：/JPCERTCC/LogonTracer

FullEventLogView(可导出)：/utils/full_event_log_view.html

安全日志：/var/log/secure

root邮箱：/var/spool/mail/root

登录成功：/var/log/wtmp

登录失败：/var/log/btmp

计划任务：/var/log/cron

操作命令记录：cat~/.bash_history

/var/log/apache/access.log

Apache：

常用日志：

web相关： Nginx：

/var/log/apache2/access.log

/etc/httpd/logs/access_log

/var/log/nginx/

/usr/local/nginx/logs

Tomcat：/TOMCAT_HOME/logs

Weblogic：

Linux redis：

其他服务： mysql：

weblogic8.x版本：$MW_HOME\user_projects\domains\domain_name\

weblogic9及以后版本：$MW_HOME\user_projects\domains\domain_name\servers\

/var/log/redis/redis-server.log

/var/log/redis_6379.log

/usr/local/mysql

/var/log/mysql

oracle：$ORACLE_BASE/diag/rdbms/

查看连接失败的IP：lastb

查看root用户启动的进程：lsof-uroot

查看7天内修改的文件：find-typef-mtime-7常用命令：

查看7天内创建的文件：find-typef-ctime-7

查看file中有root关键字的行并标注：grep-nvrootfile

一键打印access.log中100列、聚合、排序：awk-F{print$100}access.log|sort|uniq-c|sort-nr

whois查询：/

ICP备案查询：/

网安备案查询：/portal/registerSystemInfo 域名溯源有些域名商是可以通过找回功能找回指定域名所属注册人部分联系方式的，

比如前三后二手机号巴拉巴拉，当然了，也可以社工客服。

过滤协议：tcp/udp/arp/icmp/http/ftp/smtp

过滤ip：ip.addreqxxx.xxx.xxx.xxx

流量分析 wireshark 过滤端口：tcp.port==端口号/udp.port==端口号

模糊匹配：contains，例如httpcontainseval即可显示包含eval的http包

/

https://emailrep.io/

/

/

/index.jsp

支付宝转账、钉钉通讯录导入、微信搜索

https://whatsmyname.app/

/p1ngul1n0/blackbird

/sherlock-project/sherlock

搜索引擎、SRC排名、QQ群、微信群、抖音、快手、微博、知乎、脉脉、牛客网、github、gitee、csdn、cnblogs

EMAIL溯源

手机号溯源

ID溯源

应急响应与溯源by菠萝吹雪

dump内存：

内存分析

Volatility

Windows

ProcessHacker(dump进程)：https://processhacker.sourceforge.io/

RamCapturer(dump整机)：/ram-capturer

查看镜像信息：volatility-f文件imageinfo

查看进程：volatility-f文件--profile=版本号pslist

提取进程：volatility-f文件--profile=版本号memdump-p进程id-D