网络安全溯源指南 v1.0

目录

一、 window系统溯源

1、 检查系统账号安全

1.1查看服务器是否存在可疑账号、新增账号

1.2 查看服务器是否存在隐藏账号、克隆账号

1.3 查看window日志，检查登入时间，是否存在暴力破解等行为

2、 检查异常端口、进程

2.1检查端口连接情况，查看是否有可疑IP外连。

2.2查看进程

3、 检查启动项、计划任务、服务

3.1检查启动项

3.2查看计划任务

3.3排查服务自启动

4、 检查系统相关信息

4.1查看系统补丁信息

4.2查看近期创建修改的文件

二、 Linux系统溯源

1、 系统排查

1.1 系统信息

1.2用户账号

1.3启动项

1.4定时任务

2、 服务排查

2.1进程查看

2.2线程查看

2.3进程查杀

2.4调试分析

2.5查看服务

3、 网络排查

3.1分析可疑端口、可疑IP、可疑PID及程序进程

4、 文件排查

4.1find命令的使用

4.2敏感目录

4.3基于时间点查找

三、日志分析

1、window日志分析

1.1安全日志分析

2、Linux日志分析

2.1分析secure日志

2.2分析应用日志

四、文件恢复

1、 Window

1.1WinFR

1.2Windows File Recovery

2、 Linux

2.1losf命令

2.2extundelete

2.3testdisk

五、溯源到人

1、IP溯源

2、ID溯源

3、手机号溯源

4、EMail溯源

5、域名溯源

6、木马分析（云沙箱）