计算哈希
windows:
1
| certutil -hashfile aaaa.py sha256/MD5/sha1
|

linux:
1 2 3
| sha256sum 3.txt md5sum 1.txt sha1sum 1.txt
|

把哈希放进在线检测平台查询
1
| https://www.virscan.org/
|
windows应急
命令 |
说明 |
net user |
查看用户 |
lusrmgr.msc |
查看用户组 |
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users(regedit注册表) |
查看注册表隐藏账户 |
D盾 |
查看webshell |
eventvwr.msc |
查看日志 |
cmd输入wmic(任务管理器也一样) |
process查看程序进程路径 |
msconfig |
查看启动 |
taskschd.msc |
计划任务 |
systeminfo |
查看系统信息 |
netstat -ano | findstr ESTABLISH |
建立的连接 |
netstat -ano | find “LISTEN” |
等待连接端口 |
netstat -ano | find “ip” |
找到通信进程 |
tasklist | find “进程 id” |
找到木马文件 |
query user |
当前用户会话 |
危险端口
1
| 21、135、137-139、445、4444、6660-6669、3127-3128、7778、12345、27374、1433-1434、44445、1080
|
蓝队应急响应工具
linux应急
命令 |
说明 |
netstat -tunlp | grep “ip” |
通过IP找进程 |
ps -ef | grep “进程 id” |
进程找文件 |
ps -ef | grep bash |
查看bash运行任务 |
crontab -l /r |
查看计划任务,crontab只会清除自身的任务,需要查看其他 -r清除 |
cd etc/cron.d /daily/hourly/monthly/weekly |
查看存放与每天 |
lsatter 1.sh |
查看权限 i权限为文件不可变 |
sudo chattr -i 1.sh |
取消i权限 |
kill -9 pid |
强制杀死进程 |
cat /root/.bash_history |
查看历史命令 |
ls /etc -ar | grep “^.“ |
列出etc下的点开头文件,包括隐藏文件 |
top |
查看系统整体情况 |
|
|
一般步骤:
查看网站框架,语言,然后查看日志,一般日志是/var/log