windows伺服器應急響應
首先環境是這樣的,比linux應急響應好多了,有圖形介面...
1.請提交攻擊者攻擊成功的第一時間,格式:YY:MM:DD hh:mm:ss
在phpstudy目錄下搜尋日誌檔案
省賽用的是別人的工具,只能肉眼觀察嘍,個人習慣於010,可惜省賽有可能不提供...
這條是登入了管理員賬號
29/Apr/2023:22:45:23
23:04:29 10:45:23
2.請提交攻擊者的瀏覽器版本
Firefox/110.0
3.請提交攻擊者目錄掃描所使用的工具名稱
Fuzz Faster U Fool
4.找到攻擊者寫入的惡意後門檔案,提交檔名(完整路徑)
C:\phpstudy_pro\WWW\.x.php
5.找到攻擊者隱藏在正常web應用程式碼中的惡意程式碼,提交該檔名(完整路徑)
PD9waHAgQGV2YWwoJF9SRVFVRVNUWyd4J10pOyA/Pg==
C:\phpstudy_pro\WWW\usr\themes\default\post.php
6.請提交記憶體中可疑程序的PID
在資源監視器裡發現有外聯
1200
7.請提交攻擊者執行過幾次修改檔案訪問許可權的命令
2
8.請指出可疑程序採用的自動啟動的方式
策略組->計算機配置->Windows設定->指令碼(啟動/關機)->啟動->屬性
發現自啟動了一個bat指令碼
