简介

Linux 应急响应手册是由NOP Team编写的一本Linux 版的应急响应手册。

作者自述:在当前的攻防对抗态势中,防守一侧的情况就和木桶效应一样,尤其是在已经被攻破的系统中,排查持久化控制程序如同大海捞针,这本应急响应手册的意义是希望能够有效发现木桶的短板,给予应急响应人员一个较为明确的指导思想,同时给出经过实践测试的操作方法,保证受害系统经过了一次相对全面的排查,以避免由于应急响应人员知识广度和能力水平问题而造成的二次木桶效应

预览

更新日志

v1.9 – 2024.8.1 更改使用了9版的 Linux 应急响应手册封面
修复了 Windows 平台无法查看目录或显示空白的问题
修复了手册无法搜索、复制中文的问题
新增 注意事项 章节
删除事件预警来源章节
完善勒索病毒处置流程
添加隧道处置流程
常规安全检查添加了0x30 内核模块签名配置检查
常规安全检查添加了0x31 签名不合法的内核模块
常规安全检查添加了0x32 PAM 检查
常规安全检查添加了0x33 /proc 与 ps 进程对比
常规安全检查添加了0x34 Trap 检查
常规安全检查添加了0x35 家目录模板检查
暴力破解章节完善了 Rocky/Centos 案例
常见问题的解决方法添加两种 netstat 不显示 pid 的情况概述
常见问题的解决办法添加 0x04 终端出现乱码的解决办法
完善 ps 命令,加入 -w 参数防止显示截断
知识点附录添加 0x06 history 无记录的可能原因
小技巧章节添加 0x13 如何暂停进程/冻结进程
小技巧章节添加 0x14 查找特定时间段内的文件
小技巧章节添加 0x15 内存中搜索字符串
小技巧章节添加了 0x16 配置文件检查小技巧
小技巧章节添加了进程&容器抓包
修复了小技巧 -> 0x08 数据恢复章节关于进程占用文件被删的恢复方法
丰富了威胁情报部分的地址
丰富了沙箱部分的地址
修复了挖矿病毒部分的标题文字错误
修复非持续事件部分的文字错误
非持续事件处置流程添加常规安全检查阶段
暴力破解处置流程添加常规安全检查阶段
恶意软件包供应链攻击处置流程添加常规安全检查阶段
完善全局文件内容搜索技巧
添加了 lslogins 程序

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注