01 2019 档案
摘要:Windows系统日志分析 一、前言 本文将对常见的日志类型,利用微软日志分析工具(LogParser)结合已经掌握的恶意代码分析Windows系统日志,关联出系统的异常。 数据来源于Windows的事件查看器中的 .evtx文件,eventvwr.msc。 System日志 Security日志
阅读全文
摘要:横向渗透工具分析结果列表 https://jpcertcc.github.io/ToolAnalysisResultSheet/ 攻击者利用的Windows命令 https://blogs.jpcert.or.jp/ja/2015/12/wincommand.html 1、exe启动缓存文件目录 通
阅读全文
摘要:无论你做什么事,你都会面对各式各样的困难,这对每个人都是一样的,而只有兴趣、热情和成就感才能让你不怕这些困难 编程技能 "The Key To Accelerating Your Coding Skills" :这篇文章会告诉你如何有效地快速提高自己的编程能力。 编程技巧方面 "代码大全" 编程语言
阅读全文
摘要:https://medium.com/@riccardo.ancarani94/attacking docker exposed api 3e01ffc3c124 1)场景 攻击开放在互联网的Docker API 2)问题难点 Docker API外放有什么危害? 3)解决问题的方法 理解客户API
阅读全文
摘要:0x01 Redis是什么? Redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。从2010年3月15日起,Redis的开发工作由VMware主持。从2013年5月开始,Redis的开发由Pivotal赞助。 0x
阅读全文
摘要:入门教程 Python基础: 与孩子一起学编程:以 Python 语言教你如何写程序 https://book.douban.com/subject/5338024/ 在线编程网址 Codecademy: Learn Python https://www.codecademy.com/learn P
阅读全文
摘要:场景 使用D盾扫描到WEBSHELL后可以导出有路径的文本文件。 最后手动去把WEBSHELL复制到桌面然后以文件路径命名,挨个删除。 D盾界面是这样的。 手动一个个找WEBSHELL并且改名效率太低,使用MFC写一个小工具方便去现场以后查WEBSHELL的工作。 技术思路 D盾导出路径TXT 复制
阅读全文
摘要:场景 替换某个路径的所有“\\”为“_”。 很多时候取证需要把恶意代码文件取回来,然后清除。 如果在 这样的目录下,我会把路径也一并记录下来。 技术思路 分别替换掉“:"和“\\”就可以了 string::npos npos 是一个常数,用来表示不存在的位置 find find函数的返回值是整数,假
阅读全文
摘要:场景 在MFC中有时候只需要选择一个文件夹而不需要选择文件,这时候可以通过下列方式来进行选择 技术点 BROWSEINFO CoTaskMemFree 是一种函数,此函数用于释放被分配的内存块。 TRACE 宏有点象我们以前在C语言中用的Printf函数,使程序在运行过程中输出一些调试信息,使我们能
阅读全文
摘要:消息来源 海莲花组织向招聘单位发出应聘请求,并附上简历链接 https://www.freebuf.com/column/194135.html 关注点 邮箱地址 技术技巧 具体URL HASH值 文件名 代码片段 VirusTotal扩展
阅读全文
摘要:x86反汇编速成 x86体系结构 3种硬件构成: 中央处理器:负责执行代码 内存(RAM):负责存储所有的数据和代码 输入/输出系统(I/O):为硬盘、键盘、显示器等设备提供接口 内存 一个程序的内存可以分为以下四个主要的节: 栈:栈用于函数的局部变量和参数,以及控制程序执行流。 堆:堆是为程序执行
阅读全文
摘要:如果不能把恶意代码运行起来,那么动态分析基础技术没有什么用。 Windows版本中包含rundll32.exe程序,提供了一个运行DLL的平台。 Export值必须是一个DLL文件导出函数表中的函数名或者序号。 PEID可以看导出函数表。 图1 Install就像是启动rip.dll的一个入口,所以
阅读全文
摘要:场景 1、提取恶意代码中的资源部分内容 思路 存在Loadresource函数的时候说明有一部分内容在资源里。 技术点 Lab1 4 ResourceHacker打开保存资源,载入IDA查看
阅读全文
摘要:场景 确认开源的后门在中毒机器上是什么版本,具有什么功能。 思路 1、查看样本PE里的编译时间 2、对照开源后门里组件的编译时间 技术点 查看NT头 TimeDateStamp 参考 https://www.cnblogs.com/zheh/p/4008268.html https://blog.c
阅读全文
摘要:恶意代码分析-工具收集 恶意代码分析实战 Strings:字符串查找工具 https://docs.microsoft.com/zh-cn/sysinternals/downloads/strings Resource Hacker工具:查看资源节内容 http://www.angusj.com 恶
阅读全文
摘要:https://github.com/ngalongc/bug bounty reference/blob/master/README.md remote code execution Bug Bounty Reference 根据Bug归类的Bug赏金记录列表,灵感来自https://github
阅读全文
摘要:在Windows环境中利用Responder工具窃取NTLMv2哈希 翻译自:https://github.com/incredibleindishell/Windows AD environment related/tree/master/Responder 翻译:lipss 校对:看雪翻译小组
阅读全文
摘要:MFC 小型工具通用界面框架 0x1 场景 由于工作需要我会写代码开发工具给客户或者同事用。代码都能实现,但写个黑乎乎的命令行工具给别人用确实显得不够专业,用别人写好的成型工具又担心有后门。 所以掌握积累几个MFC的常用控件随时调用,代码量堆起来了就是不断反复利用的过程了。未来还是会把精力用在实现实
阅读全文
摘要:1、排查标准 记录检查机器IP信息 记录每个工具的检查截图 清除启动项、服务、进程,删除恶意代码文件。 应急响应保留现场经验 2、特征排查 自写上机排查工具 通过搜索国内外恶意代码公开的分析报告,分析样本,提取行为特征编写排查工具。 3、进程排查 1)数字签名排查 1. 可疑进程检查。 通过校验数字
阅读全文
posted @ 2019-01-06 05:54
17bdw
摘要:2011 年,我在某篇技术博客找到了《程序员技术练级攻略》很多知识点都非常不错。 最近看到原作者左耳朵耗子在极客时间开了左耳听风这个专栏。在专栏里作者按框架重新梳理了一遍入门到架构的知识点。 入门篇 编程语言:Python和JavaScript 操作系统:Linux 编程工具:Visual Stud
阅读全文
摘要:11 | 程序中的错误处理:错误返回码和异常捕捉 传统的错误检查 传统的方式:处理错误最直接的方式是通过错误码。 多返回值 于是,有一些语言通过多返回值来解决这个问题,比如 Go 语言。Go 语言的很多函数都会返回 两个值。 参数上基本上就是入参,而返回接口把结果和错误分离,这样使得函数的接口语义清
阅读全文
浙公网安备 33010602011771号