视频教学来源于--艾莉通过一个工具进行中间件日志分析获取攻击入口、时间、ip。安全工具箱 · 纸飞机安全把日志拖进去然后等待分析里面会出现百万条数据然后对数据进行过滤一定不要“草木皆兵”时间才是最珍贵的如上过滤掉不在护网期间的时间不含静态页面jpgpngcssjswebpsvgwoff2/ 等等自己在数据里面看哪些没必要因为攻击者如果获取shell那都是动态的请求或者post请求这种最后再去除响应不成功的大概确定在这些·范围内后我们要找那种一连串的数据的路径一样但是请求字节不一样的原因当攻击者获取去shell之后在小黑窗口里面不断输入指令他的请求路径是不变的但是每条指令请求的字节不一样如图;在最后写应急响应报告的时候一定还要写多实锤少可能一定要标注疑似可能最后还可以根据被扣的分数来确定哪块出了问题