父进程自已创建一个或者多个进程 子进程fork创建的。这个函数被调用一次但是返回两次，子进程返回0，父进程返回子进程id。 fork之后，操作系统会赋值一个与父进程完全相同的子进程，虽然是父子关系，但是更像是兄弟关系。这两个进程共享代码，但

杀死进程top d1 //运行top命令后，键入大写字母P按cpu排序 ps aux | sort -k4nr //运行top命令后，键入大写字母M按内存排序 ls -la /proc/$pid/exe   //查找进程文件

文件无法删除被进程占用： lsof xxxx.xx 文件存在隐藏属性： sattr xxxx.xx chattr -a xxxx.xx chattr -i xxxx.xx 上层文件存在SBIT权限：这种情况只存在于非 root 权限去删

介绍暴力破解一般针对ssh、mysql、ftp、redis、mongodb、smtp SSH暴力破解 使用netstat -pantu查看网络状态，重点是PID（当被破解时会有大量的ESTABLISHED） 使用awk -F: '

概述正常情况下遇到勒索病毒就两种方法，要么找办法解开要么给钱。 处置方法 查找勒索病毒特征，收集相关信息 深信服千里目实验室公众号直接回复病毒关键字 安全响应及EDR知识赋能平台 Freebuf 淘宝、闲鱼 解决方法有解密工具就用解密工具

获取事件告警信息监控EDR、态势感知、防火墙等平台查看威胁告警以及日志。 定位后门文件根据告警信息定位后门文件位置，查找进程pid lsof | grep xxxx.xx lsof /root/xxxx.xx fuser /root/xxx

第一步：获取信息 下线服务器之后从DNS服务器、防火墙、态势感知平台等地方获取到攻击事件详细信息 根据上传来源的IP/域名，在威胁情报平台查询确定木马类型 获取异常进程的pid CPU占用： top -c -o %CPU ps -eo p

Nmap常用命令nmap hostname/ip或者多个ip或者子网192.168.123.* -iL ip.txt 扫描ip.txt的所有ip -A 包含了-sV，-O，探测操作系统信息和路由跟踪（激烈扫描，一般不用） -O 探测操作系统

内网渗透的流程 从外网拿下一个主机当做跳板 用net user /domian命令查看跳板机是否在域内，探测存活主机 提权、提取hash 进行横向移动，定位dc位置 查看是否有能直接提权域管的漏洞，拿到dc控制权后进行提权 最后制作黄金票据

拿到目标站以后的渗透思路？渗透测试流程： 项目前期准备工作 信息收集：whois、网站源IP、开放端口、旁站、C段网站、服务器系统版本、容器版本、程序版本、数据库类型、二级域名、防火墙WAF 自动化漏洞扫描：Nessus, AWVS，XR