随笔分类 - 3_安全分析与应急响应
摘要:静态查杀 提取特征写成规则库,调用规则库查杀。基于规则,会比较快,但漏报、误报会比较明显,一般的Webshell一句话木马变形混淆会比较多。 yara规则 $eval = /(
阅读全文
摘要:前言 为了找到更多的样本来加入规则。网上有很多相关的网址可以下载和分析之后放出来的木马病毒HASH值。 思路 根据公开的yara规则对大量样本扫描,然后通过分析单独样本特征做定性操作。 规则 在线沙箱 https://www.hybrid analysis.com/ 在线沙箱 https://any
阅读全文
摘要:Bro Sysmon是啥? 受到了Bro OSQuery(https://github.com/bro/bro osquery)项目的启发,为了使Bro IDS(Bro)监视Windows端点活动所以开发了这款软件 源码地址:https://github.com/salesforce/bro sys
阅读全文
摘要:比赛模式 第一轮:20分钟基础知识赛(50道题) 安全运维,法律法规,linux操作系统等 第二轮:50分钟CTF夺旗(5道题) 题目涵盖 密码学 运用多种工具,如ASCII对照,古典密码,凯撒密码,栅栏密码,BASE64,莫斯解密等等对各类变形加密的符号文字等进行解密,提交答案 WEB题 运用多种
阅读全文
摘要:说明 木马可能类似随机发送心跳包的操作,随机sleep。对这类情况写好了一个监听shell脚本,每隔一秒钟就记录下netstat状态。 代码
阅读全文
摘要:下载安装 OpenSSL 要编译 libssh2,必须先编译好 OpenSSL 的静态库,直接从 http://slproweb.com/products/Win32OpenSSL.html 下载已经编译好的包含 lib 和 include 文件的安装包即可。访问该网站点击下载完整的安装包,注意,不
阅读全文
摘要:前言 批量登录SSH执行命令 ,把应急响应中的日志文件下载回来。 代码实现 Renci.SshNet编译出DLL,引用。 参考 C 调用DLL库的方法 https://blog.csdn.net/guangod/article/details/85774225 https://github.com/
阅读全文
摘要:安全公司博客 http://contagiodump.blogspot.com https://mmd.sougaoqing.com/mmd/index.htm http://researchcenter.paloaltonetworks.com https://www.fireeye.com/bl
阅读全文
摘要:说明 情报类资源整合 资源 https://start.me/p/X20Apn 听风者情报源 https://start.me/p/GE7JQb/osint OSINT开源情报与侦察工具 https://start.me/p/rxRbpo/ti 信息安全导航,APT资源汇总,商业搜索,区块链,CVE
阅读全文
摘要:checklist和基础安全知识 https://book.yunzhan365.com/umta/rtnp/mobile/index.html 网络安全科普小册子 http://sec.cuc.edu.cn/huangwei/textbook/ns/ 网络安全电子版教材。中传信安课程网站 http
阅读全文
摘要:前言 编写破壳CVE 2014 6271_Shellshock的POC,把公开出来的路径封装起来,作为Pocsuite3的验证POC 情况1:网站无法访问,返回失败 情况2:网站可以访问,无漏洞 情况3:网站可以访问,有漏洞 优先获取网站本身的cgi路径,如果没有,就用自带的cgi路径测试。 代码
阅读全文
摘要:场景 ASRC漏洞挖掘 方法论 1、Brands https://www.crunchbase.com/ https://en.wikipedia.org Footers & about us: https://www.alibaba.com/ ASNs https://bgp.he.net htt
阅读全文
摘要:下载链接 https://www.crowdstrike.com/resources/community tools/ CROWDSTRIKE防病毒资源监视器 CrowdStrike Antivirus Resource Monitor是一个为Windows编写的小型实用程序,用于衡量现有AV解决方
阅读全文
摘要:诱导方式 1、含有正常APP功能的伪装 2、文件图标伪装 RAR 1、Android DroidJack SpyNote Windows njRAT njRAT[2]又称Bladabindi,通过控制端可以操作受控端的注册表,进程,文件等,还可以对被控端的键盘进行记录。同时njRAT采用了插件机制,
阅读全文
摘要:1)场景 摩诃草组织(APT C 09),又称HangOver、Patchwork、Dropping Elephant以及白象。该组织归属南亚某国,主要针对中国、巴基斯坦等亚洲国家和地区进行网络间谍活动,也逐渐将渗透目标蔓延至欧洲和中东等地。 https://www.anquanke.com/pos
阅读全文
摘要:原文:https://blog.netspi.com/10-evil-user-tricks-for-bypassing-anti-virus/ 介绍 译者注:很多不通顺的语句改掉了,还有反病毒解决方案统一翻译为了反病毒软件。无关紧要的话直接意思翻译 许多反病毒软件的部署配置方法较弱,为最终用户提供
阅读全文
摘要:红队资源相关 https://threatexpress.com/redteaming/resources/ 红队相关技术 https://github.com/bluscreenofjeff/Red Team Infrastructure Wiki https://github.com/yeyin
阅读全文
摘要:0x01 Linux 1. 预加载型动态链接库后门 inux操作系统的动态链接库在加载过程中,动态链接器会先读取LD_PRELOAD环境变量和默认配置文件/etc/ld.so.preload,并将读取到的动态链接库文件进行预加载,即使程序不依赖这些动态链接库,LD_PRELOAD环境变量和/etc/
阅读全文
摘要:0x1、前言 在现场取证遇到分析流量包的情况会比较少,虽然流量类设备原理是把数据都抓出来进行解析,很大一定程度上已经把人可以做的事情交给了机器自动完成。 可用于PCAP包分析的软件比如科来,Wireshark都是很好用的分析软件,找Pcap解析的编程类代码时发现已经有很多大佬写过Python
阅读全文
摘要:前言 备份文件.gho中找到机器的注册表 文件夹位置 在 C:\WINDOWS\SYSTEM32\CONFIG 下就是系统的注册表,一般情况下,这里面会有以下几个文件: default 默认注册表文件 SAM 安全账号管理(如果忘记了密码或找回密码其实就是对这个文件的操作) SECURITY 安全方
阅读全文
