星禾团队分享1

1.exe上线-可能比较困难

2.白加黑

windows应急响应

看外联

netstat -ano 提取ip

配合威胁情报

看是否是恶意ip,根据pid找对应进程和恶意文件

火绒剑 pchunter 任务管理器等应急

查看定时任务,启动项,服务,注册表,用户,映像劫持等

日志分析

1.edr-大量的内网扫描高级 --防守怎么应急

扫描源头,dmz 个人pc钓鱼

dmz--》web为主webshe11 --》隧道 横向

2.域控被打穿排查哪些

加固:krbtgt DC等的账号hash 钻石和蓝宝石 acl 策略改写 域控伪造 ssp注入 高权限的域 用户委派

bypassuac -》注册表

3.192.168.1.2--》192.168.3.4主机cs上线--真实的怎么应急

内网多网卡机器通--》web直接能访问

不通--》多网卡192.168.1.7&192.168.3.9

相关推荐
hzyyyyyyyu1 小时前
内网安全隧道搭建-ngrok-frp-nps-sapp
服务器·网络·安全
刽子手发艺2 小时前
WebSocket详解、WebSocket入门案例
网络·websocket·网络协议
速盾cdn5 小时前
速盾:CDN是否支持屏蔽IP?
网络·网络协议·tcp/ip
yaoxin5211235 小时前
第二十七章 TCP 客户端 服务器通信 - 连接管理
服务器·网络·tcp/ip
内核程序员kevin6 小时前
TCP Listen 队列详解与优化指南
linux·网络·tcp/ip
PersistJiao7 小时前
Spark 分布式计算中网络传输和序列化的关系(一)
大数据·网络·spark
黑客Ash10 小时前
【D01】网络安全概论
网络·安全·web安全·php
->yjy10 小时前
计算机网络(第一章)
网络·计算机网络·php
摘星星ʕ•̫͡•ʔ11 小时前
计算机网络 第三章:数据链路层(关于争用期的超详细内容)
网络·计算机网络