[第一部分] 网络安全事件响应

window操作系统服务器应急响应流程_windows 服务器应急响应靶场_云无迹的博客-CSDN博客

0、请提交攻击者攻击成功的第一时间，格式：YY:MM:DD hh:mm:ss
1、请提交攻击者的浏览器版本
2、请提交攻击者目录扫描所使用的工具名称
3、找到攻击者写入的恶意后门文件，提交文件名（完整路径）
4、找到攻击者隐藏在正常web应用代码中的恶意代码，提交该文件名（完整路径）
5、请提交内存中可疑进程的PID
6、请提交攻击者执行过几次修改文件访问权限的命令
7、请指出可疑进程采用的自动启动的方式

0、猜测如果可能是爆破入侵成功的时间，那可以通过查看windows日志来查看事件分析

比如在运行–>输入eventvwr.msc打开事件查看器可以筛选ID4723是修改密码的时间

更多事件ID可以在这里查看：

宸极实验室—『杂项』一篇 Windows 应急响应的详细笔记 - 知乎 (zhihu.com)

应急响应-----Windows系统排查（学习笔记）_常以$结尾的用户名是计算机帐户_努力的渣渣黑的博客-CSDN博客

还可以通过查看中间件的日志来分析攻击事件和事件等其他更详细的信息

各类日志路径请看这里哦：

一文了解应急响应中常用的日志收集方法 - FreeBuf网络安全行业门户

常见默认路径_各大中间件日志路径_黑仔丶的博客-CSDN博客

1、在中间件的访问日志中一般就都会有记载浏览器的版本，所以这题很大可能会这样出。

2、扫描器的特征（暂未找到）

3、4、5、首先是可以通过日志来看上传的文件名和路径。

检查端口连接情况，是否有远程连接、可疑连接。

检查方法：

a、netstat -ano 查看目前的网络连接，定位可疑的 ESTABLISHED

b、根据 netstat 定位出的 pid，再通过 tasklist 命令进行进程定位 tasklist | findstr “PID”

6、应该还是查看日志，可能有命令执行吧

如何从日志文件溯源出攻击手法？_日志攻击分析_RuoLi_s的博客-CSDN博客

7、自启方式有4种，可以看：

软件开机自启动的四种方法 - 知乎 (zhihu.com)

Windows设置开机自启动的三种方式_快捷方式开机自启动_追寻上飞的博客-CSDN博客

最后有个都在推荐的日志分析工具Log Parser使用教程如下：

日志分析工具Log Parser介绍 - 微软MVP(15-18)罗勇 - 博客园 (cnblogs.com)

[第二部分 数字取证调查]

1	请提交用户目录下压缩包的解压密码
2	请提交root账户的登录密码
3	请指出攻击者通过什么命令实现提权操作
4	请指出内存中恶意进程的PID
5	请指出恶意进程加密文件的文件类型

原来的例题出自2023国赛第一套样题，由于没有源文件所以还不知道怎么猜测

这里就先移步至关于金砖的内存取证例题吧：（）

还有一个volatility使用教程的文章也给了一个例题可以熟悉：

内存取证-volatility工具的使用 （史上更全教程，更全命令） - 路baby - 博客园 (cnblogs.com)

但是这题具体是关于linux的内存取证，还没学会，先埋一个坑，学会再来补充。

任务3：通信数据分析取证（USB）

这题猜测是一段流量分析，可以看看上次关于金砖的流量分析题：（）

使用Wireshark解密SSL/TLS数据包并调试_wireshark 如何 ssl_梦之痕bhl的博客-CSDN博客

2023金砖国家选拔(北部赛区) - 乙太的小屋 (52ying.top)

wirehark数据分析与取证logs.pcapng_wireshark log分析_落寞的魚丶的博客-CSDN博客

FTP协议抓包分析_ftp抓包分析_神童i的博客-CSDN博客

FTP协议解析之Wireshark报文分析_ftp报文分析_程序猿编码的博客-CSDN博客

任务4： 基于MacOS计算机单机取证

对给定取证镜像文件进行分析，搜寻证据关键字（线索关键字为“evidence 1”、“evidence 2”、……、“evidence 10”，有文本形式也有图片形式，不区分大小写），请提取和固定比赛要求的标的证据文件，并按样例的格式要求填写相关信息，证据文件在总文件数中所占比例不低于15%。取证的信息可能隐藏在正常的、已删除的或受损的文件中，您可能需要运用编码转换技术、加解密技术、隐写技术、数据恢复技术，还需要熟悉常用的文件格式（如办公文档、压缩文档、图片等）。

这题也没有原文件，但有个周学长拷给我的海河工匠杯的环境，工具是狗头哈哈哈Autopsy

答题过程请看这篇文章：（）

单机取证 - 乙太的小屋 (52ying.top)