那么简单的来说,换句话来说吧,我们为什么要去做这个事情。首先第一点,我们可以去定位到我们的恶意进程,它是在哪个路径下,同时我们还可以定位到什么?由于攻击者他要去控制我们的这个什么呀,控制我们的服务器,那么在他上传这个恶意文件并且被执行的时候,他一定要执行以后,执行以后才可以去做一些相应的操作。
那么他要去做一些相应的操作的话,他必须要去依赖一些可执行程序脚本,对不对?那么也就是说我们会在在哪个时间点?他这里是时间点还没出来,时间点暂时没出来,也就是在它他执行以后,我们会去检查在5月19号这一个期间,包括5月19号往后的一个时间进行正向推演,我们就可以得到,他在我们这这台电脑上面到底放了多少个可疑的程序,多少个可疑的程序,以及通过这些程序做了什么事情,因为我们可以去拿到他的程序,比如说他拿到一个这个叫什么?
这个是一个正向的连接对不对?那么说明他控制我们的电脑,如果是他拿到一个x干,说明他对我们的电脑进行了扫描,是不是扫描就有日志,我们就可以进一步的去进行分析和查看,是这样子的是这样子的。那这里我给大家演示的是一个everything的一个查看方式,好,那么通过定位我们就发现了什么?我们在这个地方我们只是发现了有个远程登录的一个对不对?那么我们通过对这一个时间内的进行一个搜索和查看,我们就定位到了两个程序,一个是f.exe,一个是病毒,那么具体的时间,我们可以进行把这个图片放大之后再给大家看一下。
好,时间是某年的,这是20号了,20号凌晨45分的时候放上去的了。然后这个病毒是什么?是19号5:26的时候放上去了。那么也就是说接下来我们通过everything这个排查方式,我们要去查看的什么呀,查看的就是在5:26,往后所有新创立的文件,那么它都有可疑,都存在可疑,知不知道?
都存在可疑,那么像这些工具都是比较明显的,而且它是放在这一个公用目录下面的话,它是可以存放一些临时文件的,是具备这样的这些权限的,而且我们可以看到它的位置是public,public就公用的话,就是你没有权限也可以放,这个也是攻击者非常喜欢放黑客工具的一个路径,我们也可以去进行排查,这个也是一个排查思路。
好,那么排查完之后,我们还要再去定位,它不是有在这个上面,我们不是去看到它不是有个远程登录的一个可执行程序吗?那么我们就去定位一下它的登录的时间是,什么样子的。既然他创建了账号,他为了更方便的操作,听见没有?为了更方便的操作,一定会登录我们的这个服务器,登录服务器这个行为的话是比较敏感的,但是为了可以更快速的去做到伤害更大的一个攻击,去制造更大的给我们蓝队制造更大的一个麻烦的话,通常来说是会去选择登录的。