记一次win的应急响应

1.请提交攻击者攻击成功的第⼀时间，格式：YY:MM:DD hh:mm:ss,⽐如：2023:01:01 01:01:0

第一步还是先查看日志文件

开始分析acc日志文件

所以攻击成功时间就是

2023:4:29:22:44:38

2.请提交攻击者的浏览器版本

火狐浏览器的名字，就是他

Firefox/110.0

3.请提交攻击者⽬录扫描所使⽤的⼯具名称

fuzz攻击者，也在进行目录扫描，就是他

Fuzz Faster U Fool

4.找到攻击者写⼊的恶意后⻔⽂件，提交⽂件名（完整路径）

继续分析日志

很明显的命令执行，前面跟着文件名字.x.php，去电脑上搜索一下

一打开www就有，输入绝对路径

C:\phpstudy_pro\WWW\.x.php

5.找到攻击者隐藏在正常web应⽤代码中的恶意代码，提交该⽂件名（完整路径）

查看后门文件，发现密码是x

而在日志里面执行的密码是cmd

这很不对劲，说明还有一个通过别的东西，传输对象给这个后门文件，往前看日志，它有没有给别的文件写东西，

=，这个文件的嫌疑很大

md过去看了一下才发现，这个攻击者用错密码了，不过也是有重大发现，攻击者是通过编辑这个文件，任何将一句话写入到网站里面的，所以这个文件可以很明显的看到恶意代码

C:\phpstudy_pro\WWW\usr\themes\default\post.php

6.请提交内存中可疑进程的名称

查看任务管理器的进程

360？没有在桌面上看到360文件

除了这个进程也没有360软件，他肯定是伪装成正常软件名字的恶意进程

也可以通过右键熟悉查看详细信息，发现和攻击者是同一天创建的

而且这个进程过一会就就不见了！

我在分析的时候就是做完前面的题目，在查看进程就没有看到他，重启之后才发现了他，，当你做题不知道怎么办的时候，不妨重启一下，或者刚拿到题目的时候就拍个快照恢复过去。

恶意进程确定

360.exe

7.请提交攻击者执⾏过⼏次修改⽂件访问权限的命令

这两个命令看不到，最简单的做法就是，拿去命令行运行一下看看是啥

webshell的就算调用系统命令最高权限也就是在www目录下，除非提权，她没有做提权操作，所以在这个目录下运行，然后看到回显是关于修改所有的，就是访问权限

这个也是修改文件访问控制列表的命令

所以答案就是两次

8.请指出可疑进程采⽤的⾃动启动的程序名（完整路径）

通常的恶意进程都是自启动项，我们用户也不会主动去启动恶意进程，所以基本上都是进化任务或者开机自动

xin+r启动命令输入，gpeidt.msc 打开组策略，然后点啊看iwindows设置，点开脚本，就是查看计划任务和开机自启动项的地方

这里就看到了一个开机自启动的任务，因为要绝对路径就把前面的路径也输入上

答案就是

C:\Windows\x.bat

fa

cai