網(wǎng)絡攻防項目實戰(zhàn) 課件 4.4系統(tǒng)安全排查_第1頁
網(wǎng)絡攻防項目實戰(zhàn) 課件 4.4系統(tǒng)安全排查_第2頁
網(wǎng)絡攻防項目實戰(zhàn) 課件 4.4系統(tǒng)安全排查_第3頁
網(wǎng)絡攻防項目實戰(zhàn) 課件 4.4系統(tǒng)安全排查_第4頁
網(wǎng)絡攻防項目實戰(zhàn) 課件 4.4系統(tǒng)安全排查_第5頁
已閱讀5頁,還剩20頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領

文檔簡介

4.4系統(tǒng)安全排查任務描述云海網(wǎng)絡安全公司托管的服務器近期遭受網(wǎng)絡攻擊,導致服務器出現(xiàn)運行不穩(wěn)定的情況,工程師小吳決定對系統(tǒng)進行安全排查,結合系統(tǒng)破壞情況、攻擊者的可能途徑對網(wǎng)絡連接、可疑進程等進行排查,盡可能確保系統(tǒng)后續(xù)安全穩(wěn)定的運行。通過本任務學習,能夠體驗滲透測試工程師在應急響應過程中對網(wǎng)絡及進程、可疑用戶、可疑文件、開機啟動項、服務自啟動等進行排查的工作環(huán)節(jié)。0201任務準備系統(tǒng)安全排查目錄任務準備01設置網(wǎng)絡實驗環(huán)境打開VMwareworkstation虛擬機軟件,點擊菜單欄中的“編輯”功能,在“虛擬網(wǎng)絡編輯器”窗口中勾選“僅主機模式”,將DHCP服務子網(wǎng)IP地址設置為192.168.200.0,子網(wǎng)掩碼設置為255.255.255.0。設置網(wǎng)絡實驗環(huán)境單擊“DHCP設置”按鈕,將起始IP地址設置為“192.168.200.100”,結束IP地址設置為“192.168.200.200”,其余選項均為默認設置。開啟虛擬機操作系統(tǒng)準備好教學配套資源包中提供的Windows7、kali虛擬機操作系統(tǒng),將虛擬機網(wǎng)絡適配器的網(wǎng)絡連接模式設置為“僅主機模式”,并啟動操作系統(tǒng)。開啟handler監(jiān)聽模塊在kali操作系統(tǒng)中進行msf框架,開啟handler監(jiān)聽模塊。打開測試程序?qū)⒔虒W資源庫中的“hack.exe”文件復制到Windows7操作系統(tǒng)中并雙擊運行該文件。系統(tǒng)安全排查02系統(tǒng)安全排查在Windows7操作系統(tǒng)中按“win+R”鍵打開“運行”功能,輸入“cmd”打開終端命令行窗口,繼續(xù)輸入“netstat-ano”,查看當前的網(wǎng)絡連接,觀察顯示的結果推測ESTABLOSHED(連接成功)為可疑,其PID為3628。步驟1排查網(wǎng)絡連接系統(tǒng)安全排查c系統(tǒng)安全排查方式1:在cmd終端命令行輸入“tasklist/svc|findstr3628”命令進行進程定位,發(fā)現(xiàn)存在Hacker.exe進程,該進程不屬于系統(tǒng)進程且命名陌生,推測其為可疑網(wǎng)絡連接進程。步驟2排查進程系統(tǒng)安全排查方式2:打開“任務管理器”,選中Hacker.exe進程,右擊進程在彈出的快捷菜單中,選擇“打開文件位置”選擇。步驟2排查進程c系統(tǒng)安全排查在Windows7操作系統(tǒng)中,右擊“計算機”圖標,在彈出的快捷菜單中選擇”管理”打開計算機管理窗口,雙擊打開“本地用戶和組”選項卡,點擊“用戶”選項,排查其中是否有可疑用戶,在顯示的結果中發(fā)現(xiàn)未知用戶hacker1可疑用戶。步驟3排查可疑用戶系統(tǒng)安全排查系統(tǒng)安全排查以可疑用戶名為hacker1的為例,若用戶賬號僅是通過命令或用戶管理程序進行刪除,那么系統(tǒng)中仍會有該用戶目錄殘留,目錄中的一些文件會記錄用戶的某些特定行為,可以通過查看這些文件,對該用戶的行為進行追查。步驟4排查可疑文件系統(tǒng)安全排查打開“C:\Users(用戶)\hacker1\Desktop(桌面)”文件夾,可查看hacker1用戶的桌面文件,從中找到了可疑進程Hacker.exe,因此判斷攻擊者通過hacker1用戶登錄目標機系統(tǒng)后,發(fā)送可疑進程Hacker.exe,對目標機進行操作。步驟4排查可疑文件系統(tǒng)安全排查在Windows7操作系統(tǒng)中,點擊“開始”選擇“所有程序”選項卡,點擊“啟動”打開該文件夾,此目錄默認情況下為空目錄,根據(jù)該目錄下有無內(nèi)容確定是否有非業(yè)務程序。步驟5排查開機啟動項c系統(tǒng)安全排查在Windows7操作系統(tǒng)中,按下“win+R”鍵打開“運行“功能后,輸入“msconfig”打開“系統(tǒng)配置”窗口,點擊“啟動”選項卡,可查看啟動項的詳細信息,發(fā)現(xiàn)其中命名為ipoKBisJUn的啟動項比較可疑。步驟5排查開機啟動項系統(tǒng)安全排查c系統(tǒng)安全排查繼續(xù)在”運行“功能窗口,輸入“regedit”打開“注冊表編輯器”窗口,查看開機啟動項是否有異常,發(fā)現(xiàn)其中命名為ipoKBisJUn的啟動項比較可疑。步驟5排查開機啟動項c系統(tǒng)安全排查在Windows7操作系統(tǒng)中,點擊“開始”,選擇“控制面板”,打開“管理工具”后雙擊“任務計劃程序”功能,點擊“任務計劃程序庫”,當前的任務計劃中沒有發(fā)現(xiàn)異常。步驟6排查任務計劃系統(tǒng)安全排查按下“win+R”鍵打開“運行“功能后,輸入“services.msc”打開“服務”窗口,查看是否有異常啟動的服務,按照狀態(tài)為”已啟動“進行排序。在顯示的結果中觀察發(fā)現(xiàn),RemoteDesktopServices服務處于自動開啟狀態(tài),說明存在遠程連接。NetworkLocationAwareness服

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論