简介

本次更新主要有四项，其中较大的改动是加入了拷贝取证、进程启动文件检查 全盘拷贝常规情况都需要关闭受害主机，此时会失去进程以及内存信息 ，进程拷贝需要保证系统不变，更改系统后，进程无法恢复

本次更新将两者的优势结合了起来，让应急人员能够从客户现场将一个“鲜活”的进程带走，并且让其在实验环境恢复运行

更新日记：

v1.6

20230106

• 小技巧章节添加拷贝取证
• 善后阶段添加进程启动文件检查
• 各个场景的删除恶意文件章节添加一种目录无法删除的场景
• 处置前准备章节添加启动U盘和数据存储硬盘

20221116

• 善后阶段 history 章节添加了一种不会记录history的情况

v1.5

2022.9.30

• 完善远控后门章节，增加与C&C隐藏的对抗章节
• 增加非持续性事件处置流程及方法
• 小技巧模块增加批量查找文件并打印信息（防守常用）

v1.4

2022.4.30

• 小技巧新增数据恢复章节
• 完善挖矿和远控后门，新增确定程序运行时间章节
• 善后阶段-日志分析新增 ssh-key 追踪
• 修复了 1.3 版本善后阶段序号错误问题
• 更新 pstree 参数：acU -> agplU; agpU -> agplU
• 精简了善后阶段bash函数章节

v1.3

2021.11.23

• 善后阶段增加 capabilities 权限配置检查（提权）
• 善后阶段增加 iptables 配置检查 （端口复用）
• 善后阶段增加密码填充检查
• 善后阶段将服务检查单列了一个小节
• 善后阶段增加了 ASLR 配置检查
• 知识点附录增加线程文件夹位置相关内容
• 知识点附录删除了 Bash 函数默认情况

v1.2

2021.9.10

• 善后阶段增加了 BASH 内置命令检查
• 善后阶段增加了 BASH 函数的检查
• 善后阶段完善了环境变量查看方法 declare
• 小技巧新增文本内容对比方法

2021.8.19

• 补充了动态库劫持相关内容

v1.1 2021.7.1

• 解决了上一版本中图片缺失问题
• 增加 ssh config 后门检查
• 增加 ptrace_scope 配置检查
• 更新了部分文字表达

v1.0 2020.5.3

hello world

Linux 应急响应手册 v1.6 

下载地址: https://pan.baidu.com/s/1R6VW-ydG7oGyW95cbyMG8g?pwd=1234 提取码: 1234

往期文章

不落地执行shell脚本 | Linux 后门系列

修改后门ctime ｜ Linux 后门系列

与云函数&CDN的对抗 ｜ 应急响应