摘要:
文件特征提取 1、利用哈希值作为病毒特征 2、选取病毒内部的特征字符串 3、选取病毒内部的特色代码 4、双重校验和 网络特征 1、具体的下载URL或者访问的URL 2、IP地址 3、网络域名 注册表信息提取 1、启动项 2、写死的某个开关值 内存特征提取 某个特定的页、读写权限、代码块大小 只要理解 阅读全文
摘要:
原文:http://agrawalsmart7.com/2018/11/10/Understanding XXE from Basic to Blind.html 这篇文章中将讨论以下问题。 首先要了解一些基本的关键词。 实体:实体引用充当缩写或可以在外部位置找到的数据。语法: ; 最常见的实体是: 阅读全文
摘要:
前言 通过Python脚本把Burp的HTTP请求提取出来交给SQLMap批量测试,提升找大门户网站SQL注入点的效率。 导出Burp的请求包 配置到Burp的代理后浏览门户站点,Burp会将URL纪录存储在HTTP History选项卡的内容里 导出Burp的请求包到SQLMAP中测试SQL注入漏 阅读全文
摘要:
Python恶意软件分析应用 PEfile 0x1、前言 要想对恶意代码快速分析,Python是一门必须要掌握的编程技能。因为它是跨平台的,而且容易阅读和编写。许多开源安全工具也是用Python写的。这篇博客文章介绍利用Python对(PE)文件分析的编程思路,快速解析单个文件并提取关键特征 。 如 阅读全文
摘要:
一、前言 当业务系统发生安全事件时,我们除了需要对客户的主机进行排查找出入侵来源、还原入侵事故过程,还需要对网络流量持续性地跟踪监测。 虽然市面上那么多的安全监控分析设备、软件,产生了大量的安全日志。可还是要将尝试攻击、已经攻击成功的情况判断出来有针对性地进行排查、防御。 针对常见的攻击事件,结合监 阅读全文
摘要:
从协议上来讲使用了TCP、UDP、ICMP、HTTP/HTTPS、FTP和DNS等协议。 正向通信和反向通信 正向模式是木马被控端在宿主机器上开放一个端口,等待控制端来主动连接,对一些有公网地址的目标非常有效。 反向通信是被控端在启动后,主动和控制端连接通信的过程,这种方式不要求被控制机器有公网地址 阅读全文
摘要:
说明 恶意代码数字签名验证功能,WinverityTrust、CryptQueryObject 代码实现 WinVerifyTrust // // Copyright (C) Microsoft. All rights reserved. // Example of verifying the em 阅读全文
摘要:
Windows 64位架构与32位架构区别 所有的地址和指针都是64位的 所有的通用寄存器,包括RAX、RBX、RCX等在大小上都有所增长,不过这些通用寄存器的32位版本还是可以被访问的。 有些通用寄存器(RDI、RSI、RBP以及RSP)通过添加一个L后缀到它们的16位版本,已经被扩展成支持访问单 阅读全文
摘要:
1、说明 枚举进程的常见几种方法 方法1:CreateToolhelp32Snapshot()、Process32First()和Process32Next() 方法2:EnumProcesses()、EnumProcessModules()、GetModuleBaseName() 方法3:Nati 阅读全文
摘要:
通常用作黑客攻击网站拿到服务器Webshell提升站点服务器权限后,对站点和数据库服务器两台服务器分离的情况,延申权限到数据库服务器。开启数据库服务器的3389远程连接。 1、程序信息 MD5值:58946C2FE49563591EBE0D61F457DE0A 大小:178 KB (182,526 阅读全文