type
status
date
slug
summary
tags
category
icon
password
应急主要有几大项
- 日志分析
- 流量分析
- 常见的安全事件处置(网页篡改和挖矿木马等)
- 内存取证
考试题型为 20 个选择题 + 8个实操题,实操题涵盖日志分析、流量分析、常见安全事件处置、内存取证和Linux取证这几个考点。IRE的实操题基本都是CTF杂项入门题难度,
整体来说考试不难,就是遇到了个坑点,在做一个安全事件处置题的时候,需要找Windows影子用户,但原生注册表直接打开在 HKEY_LOCAL_MACHINR\SAM\SAM 里是没有的,需要右键SAM赋权并刷新,里面就能找到关键信息了,之前练习的时候还踩过这个坑,考试的时候给忘了。