42-4 应急响应之文件痕迹排查
一、文件痕迹排查
-
对恶意软件常用的敏感路径进行排查:
- 恶意软件通常会利用系统中一些常见的敏感路径来存储或执行恶意代码,因此排查这些路径是非常重要的。常见的敏感路径包括系统目录、临时目录、用户主目录等。
-
在确定了应急响应事件的时间点后,对时间点前后的文件进行排查:
- 对时间点前后文件的排查可以帮助确定恶意活动的时间范围,并找出可能受到影响的文件。这种时间线分析是确定入侵活动的关键步骤之一。
-
对带有特征的恶意软件进行排查,这些特征包括代码关键字或关键函数、文件权限特征等:
- 通过搜索特定的代码关键字、关键函数或者检查异常的文件权限来发现潜在的恶意软件痕迹。例如,可以检查是否存在已知的恶意软件代码片段或者异常的文件权限设置。
在实际操作中,结合使用这些方法,可以更全面地排查系统中的文件痕迹,有助于快速、准确地发现潜在的安全问题。
二、敏感目录排查
windows
1)temp (tmp)相关目录:
- 临时目录是恶意软件常用的位置之一,因此对其进行检查是重要的。可以查看临时目录下是否存在异常文件,例如具有随机字符命名、不常见文件类型或者大小异常的文件等。