diff --git a/shell/analysis.sh b/shell/analysis.sh
new file mode 100644
index 0000000..408c244
--- /dev/null
+++ b/shell/analysis.sh
@@ -0,0 +1,39 @@
+#!/bin/bash
+## 流量分析 日志分析 2017-03-24
+## http://www.aqzt.com
+## email: ppabc@qq.com
+## robert yu
+## centos 6
+
+yum install -y epel-release
+yum install -y vnstat
+
+#查看eth2网卡流量
+vnstat -l -i eth2
+
+##抓包命令
+tcpdump -i eth2 -s 0 -c 10000 -w 1.cap
+tcpdump -i eth2 -s 0 -c 10000 -w 0808.cap
+tcpdump -i em2  port 19000
+tcpdump -i eth0 -nn port 21
+tcpdump -vv -nn -i em2  tcp  port 19000 and host 192.168.1.12
+tcpdump -vv -nn -i em2  tcp port 19000
+tcpdump -vv -nn -i em2  tcp  port 19000 -p
+tcpdump -i em2 -s 0 -c 100000 -w 0809.cap
+
+##查端口请求
+ss -an | grep 19000|grep -i es | awk '{ print $6 }' | awk -F: '{ print $1}' | sort | uniq -c | sort -nr | head -n 30
+
+##安装库文件，需要 libpcap 及 libcurses 。
+yum install -y flex byacc libpcap ncurses ncurses-devel libpcap-devel
+
+##下载并安装，目前最新版是0.17。
+cd /usr/local/
+wget http://www.ex-parrot.com/~pdw/iftop/download/iftop-0.17.tar.gz
+tar zvfx iftop-0.17.tar.gz
+cd iftop-0.17
+./configure --prefix=/usr/local/iftop
+make && make install
+cp /usr/local/iftop/sbin/iftop /bin
+
+./iftop -i eth2 -n -P -N
\ No newline at end of file
diff --git a/shell/find/find.sh b/shell/find/find.sh
index 1889d45..1d03708 100644
--- a/shell/find/find.sh
+++ b/shell/find/find.sh
@@ -98,7 +98,7 @@ find . -type f -exec ls -l {} \;
 find logs -type f -mtime +5 -exec   -ok   rm {} \;
 
 
-匹配字符串，找出存在字符串文件
+##匹配字符串，找出存在字符串文件
 find /data -name "*.php" -type f -print0|xargs -0 egrep "(phpspy|c99sh|milw0rm|eval\(base64_decode|spider_bc)"|awk -F: '{print $1}'|sort|uniq
 find /data -name "*.php" -type f -print0|xargs -0 egrep "aaa"|awk -F: '{print $1}'|sort|uniq
 find . -name "*.php" -type f -print0| xargs -0 egrep  "aaa|bbb"| egrep "aaa"
diff --git a/shell/hacker_check.sh b/shell/hacker_check.sh
index 0ebcb2c..84a1f6e 100644
--- a/shell/hacker_check.sh
+++ b/shell/hacker_check.sh
@@ -205,13 +205,18 @@ dd if=/dev/sda1 of=/abc bs=1024 这里是保存在了根分区，用mount查看
 这里可以看到刚才的abc文件，输入：mount aa /tmp -o loop
 这里看到就是刚才镜像的文件内容
 
-19 find
-查找指定字符的文件（测试发现二进制也可以发现，是strings后的内容）
+#19 find
+#查找指定字符的文件（测试发现二进制也可以发现，是strings后的内容）
 find /tmp -type f -exec grep “no exist” {} \; -print
-
 find /etc/rc.d -name ‘*crond’ -exec file {} ;
+##匹配字符串，找出存在字符串文件
+find /data -name "*.php" -type f -print0|xargs -0 egrep "(phpspy|c99sh|milw0rm|eval\(base64_decode|spider_bc)"|awk -F: '{print $1}'|sort|uniq
+find /data -name "*.php" -type f -print0|xargs -0 egrep "aaa"|awk -F: '{print $1}'|sort|uniq
+find . -name "*.php" -type f -print0| xargs -0 egrep  "aaa|bbb"| egrep "aaa"
+
+##首先确定黑客IP，然后通过find命令检查日志文件中，含有黑IP的日志，从而排查程序漏洞点！
 
-查找/etc/rc.d目录下面所有以crond结束的文件，并使用file指令查看其属性，注意：exec和file间是一个空格，file和{}间是一个空格，file和;之间是一个空格，;是一个整体。
+##查找/etc/rc.d目录下面所有以crond结束的文件，并使用file指令查看其属性，注意：exec和file间是一个空格，file和{}间是一个空格，file和;之间是一个空格，;是一个整体。
 
 20
 kill -SIGSEGV 进程号 会产生一个core文件，用strings可以看信息，用一个c程序可以重新构建它的可执行程序，study/unix/下保存一个文章。测试没产生core，原因不详。