資安事件為因蓄意行為、意外狀況、人為疏失,導致單位系統被駭客植入木馬程式、竊取資料、遭受阻斷式服務攻擊、實體破壞設等等破壞組識資訊通訊的事件。為了迅速抓出淺在電腦裡的木馬元凶,這裡提供簡單的檢測方法。
主機在乾淨且正常的狀態下備份
cd %systemroot%\system32
dir *.exe > c:\log\exeb.txt & dir *.dll > c:\log\dllb.txt
請自行將dllb.txt妥善保管好,執行一段時間後,當覺得主機怪怪的或有發現異常時,在備份一次(不同檔名或路徑)
dir *.exe > c:\log\exec.txt & dir *.dll > c:\log\dllc.txt
就可以比較前後兩次的檔案列表
fc c:\log\exeb.txt c:\log\exec.txt >> c:\log\diffe.txt && c:\log\dllb.txt c:\log\dllc.txt >> c:\log\diffd.txt
以上圖來說紅框的部分,就可以發現到有異常的程式在執行了。
![Logstash 無法丟 log 到 Elasticsearch 解決 The [default] mapping cannot be updated on index 問題](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgNVDy8FHj7JDEjg3OYINkH-Ng0Z1jEicFO8BYRVXW6yPJ1Fo2DDkPBICZSMiqWt2W7wCZajJ5BXQCHfLo6Z7p2euWJMTpDHxVX_g7yoHxMyvwxW7TL2B9ZKVte7E77F0LU6K5dlF-o3AIa/s72-c/c7c592bc71b5baf9c3661ee839eb28cf-766960.png)
沒有留言:
張貼留言