目录
- 介绍
- 步骤
介绍
进程(Process)是计算机中的程序关于某数据集合上的一次运行活动,是系统进行资源分配和调度的基本单位,是操作系统结构的基础。
在早期面向进程设计的计算机结构中,进程是程序的基本执行实体;在面向线程设计的计算机结构中,进程是线程的容器。主机在感染恶意程序后,恶意程序都会启动相应的进程,来完成相关的恶意操作,有的恶意进程为了能够不被查杀,还会启动相应的守护进程对恶意进程进行守护。
在应急响应排查的过程中,由于大部分的恶意软件、木马、后门等都会在文件维度上留下痕迹,因此对文件痕迹的排查必不可少。一般,可以从以下几方面对文件痕迹进行排查:
(1)对恶意软件常用的敏感路径进行排查;
(2)在确定了应急响应事件的时间点后,对时间点前后文件进行排查;
(3)对带有特征的恶意软件进行排查,这些特征包括代码关键字或关键函数、文件权限特征等。
rpm命令结果中,S代表文件大小发生了变化,5代表文件的md5值发生了变化,T代表文件时间发生了变化
步骤
执行命令netstat -anptl
查看外连的网络
这个外连的网络是会变化的
可以看到外连的进程和PID,利用ls /proc/PID
初步查看
利用lsof -p PID
进一步确认
排查是否有命令被替换,利用命令rpm -Vf /usr/bin/*
查看
查看ps文件的内容
新ps文件的内容是,执行每次ps命令都先执行centos_core.elf
文件和.hidden_command/ps
文件,grep -v
是每次执行时只打印没有匹配的内容(隐藏了执行的报错信息)
执行.hide_command/ps
文件,是正常的ps文件
利用stat命令查看文件