好吧，对于前 3 个问题，我会在办公室的机器上进行全面检查。我们很幸运能够在我们网络中的多个位置以防火墙和流量收集器的形式进行持续的网络监控。

1. 来自Argus的流记录（类似于 Net- 或 J-flows）
2. 防火墙日志（来自“附近”主机和硬件防火墙）
3. tcpdump（如果可能，从镜像端口捕获，必要时集线器/tap）
4. perl/grep/awk

大部分魔力来自我们多年来开发的 perl 脚本，以及 Argus 附带的分析/聚合工具。

我检查过的大多数妥协被用于提供非法电影/音乐/等或执行拒绝服务攻击。在这两种情况下，感染都很容易从流记录或防火墙中跟踪。

我发现一些对这类事情有用的工具。

分析数据包捕获（如果可用）

• 当然是Wireshark
• 网络矿工

对于文本日志分析，我倾向于结合使用grep和ruby。

再次不是我的列表，但这是我的工具箱： http ://www.forensicswiki.org/wiki/Tools:Network_Forensics

加上一些用于无线检测的东西（例如内幕）

以为我会弹出一些我或我的团队在几次场合不得不使用的工具。假设服务器遭到破坏（并且您手头有计算机取证工具包可以查看），那么我想要以下内容：

• 线鲨
• tcpdump
• ngrep
• grep/perl 脚本（虽然我正在慢慢学习 ruby​​）
• netflows（尽管我认为 Argus 可能是一个更好的选择）

根据对服务器的初步评估，您可能会拔掉电源、断开网络连接或进入调查网络。如果我正在拉动电源，那么我想从服务器周围的基础架构和通往 Internet 的路径中进行审查 - 寻找网络内的妥协和通过周边的通信。对于第 3 个选项，我想监控来自我的调查网络的实时日志。在任何情况下，我都希望检查整个网络是否存在妥协迹象。

此时的 SIEM 工具在企业范围内可能非常有效——它们可以随着调查的进行而更新，有助于限制进一步的妥协。

但大部分工作将在事后进行 - 我与日志的大部分处理都是沿着 grep 路线进行的。