MSIC总结取证分析
一、日志分析:
1.常见日志分析类型:
2.常见一些考点:
(1)还原特定IP攻击手段(SQL注入、暴力破解、命令执行等),或还原最初攻击时间;
(2)寻找flag或者特定文件解密需要的Key;
(3)寻找getshell的后门文件的密码,可能需要解密;
(4)分析寻找提示点或者结果
(5)……
小结:简单来说,日志分析类似于应急响应中的日志分析场景。
3.技巧总结:
总的来说,这类题型得熟悉日志的结构,以及有耐心能够分析出不同的日志他是在干什么,比如Linux日志怎么找外来你用户,Windows日志又怎么来找外来用户,以上是系统日志的一些做题技巧。
在服务器日志分析中,因为场景是模拟应急响应,所以一般会有提示或者情景描述,也就是现实业务场景中的运维支撑描述的情况。一般用日志来还原攻击的手段,加上一定的提示分析,就可以还原所谓的攻击。也可以用后台登录路径或关键字进行一个搜索查找。也可能在分析注入的时候需要将二次编码注入解码,然后用一些辅助查询ASCII码工具。
总结:“耐心+提示+分析+提示=flag”
