03 2022 档案
摘要:看yara的使用 https://go.chronicle.security/hubfs/YARA-L%20Overview%20White%20Paper.pdf 支持自定义函数: profile susp_process_with_variation_of_svchost { meta: aut
阅读全文
摘要:我的安装方法: 1.1 从github下载源码 https://github.com/VirusTotal/yara/releases tar -zxf yara-4.0.0.tar.gz cd yara-4.0.0 1.2 安装依赖 sudo apt-get install automake li
阅读全文
摘要:七宗罪:排序准则在于对爱的违背程度。其顺次序为:傲慢(爱人:爱自己远胜过别人)、嫉妒(爱人:爱自己胜过别人)、愤怒(爱人:敌对,认为对方有不敬、贬低、威胁等行为)、怠惰(爱人:缺乏行動的欲望,而不想做任何事,背后是缺乏责任心,爱他人不够?)、贪婪(爱物:钱财)、暴食(爱物:饮食)及色欲(爱物:欲望的
阅读全文
摘要:数字签名Sigthief | MSF 发表于 2018-01-02 | 分类于 Metasploit | 评论 视频演示: https://www.ggsec.cn/sigthief.html 见原始链接 Github https://github.com/secretsquirrel/SigThi
阅读全文
摘要:看这个图,就知道现在知识蒸馏的大致做法了。差不多就是在做模型裁剪,有时候我也觉得奇怪,按理说老师教学生不应该青出于蓝而胜于蓝吗?从这里看,student模型除了性能有优势,精确率是没有优势的。 万字综述 | 一文读懂知识蒸馏 2020-12-22阅读 5.4K0 知识蒸馏综述 本文梳理了用于简单分类
阅读全文
摘要:案例: https://any.run/report/45593a7071903724aae4974d478a17784cfca63af4d3404312fb4b5ecb9e0f1c/58f92791-2735-4bb1-8c2e-74894b313bac https://any.run/repor
阅读全文
摘要:对比学习(Contrastive Learning)综述 光某人 摸鱼大师——一个希望学习技术的小学生 1,410 人赞同了该文章 A.引入 A.引入 深度学习的成功往往依赖于海量数据的支持,其中对于数据的标记与否,可以分为监督学习和无监督学习。 1. 监督学习:技术相对成熟,但是对海量的数据进行标
阅读全文
摘要:Windows命令行使用FTP 通过FTP进行恶意文件下载的例子: https://any.run/report/33bafa4f8a5be36be2df0579b6ca74c6b591d5e134fdcff06b732afde3576b0a/fd69ceee-c926-417c-a751-3ec6
阅读全文
摘要:环境:Win10、Win7虚拟机 Windows远程命令执行 1、psexec.exe远程执行命令 psexec \\192.168.30.128 -u Administrator -p 123456789 cmd.exe 这里一开始登陆的是另一个管理员账号,但是一直被拒绝访问,后来把Adminis
阅读全文
摘要:写在前面 打开powershell,照猫画虎,我这边用自己本地机器操作的一些结果: PS C:\Users\l00379637> Test-WSMan 10.129.0.155 Test-WSMan : <f:WSManFault xmlns:f="http://schemas.microsoft.
阅读全文
摘要:我的测试代码: 直接使用命令行操作,添加注册表: REG ADD HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v xxxxKey /t REG_SZ /d "powershell -file helloword.
阅读全文
摘要:使用 WScript.exe 运行脚本 WScript.exe 是 Windows 脚本宿主的一个版本,用来在 Windows 中运行脚本。WScript.exe 提供了基于 Windows 的对话框,用于设置脚本属性。 使用 WScript.exe,可以通过下列方式在 Windows 下运行脚本:
阅读全文
摘要:https://any.run/report/9f43dee732113b895e5fbbbd504a8df269a30a6e7991c1868ec300abb7d328af/ad4e5874-be79-497b-ada9-51c9ef27b649schtasks.exe /create /tn "
阅读全文
摘要:rundll32 加载并运行32位动态链接库 (Dll) 。 没有适用于 Rundll32.exe 的可配置设置。 为使用 rundll32.exe 命令运行的特定 DLL 提供了帮助信息。 必须从提升的命令提示符运行 rundll32.exe 命令。 若要打开提升的命令提示符,请单击 " 开始",
阅读全文
摘要:Regsvr32使用方法 使用过activex的人都知道,activex不注册是不能够被系统识别和使用的,一般安装程序都会自动地把它所使用的activex控件注册,但如果你拿到的一个控件需要手动注册怎么办呢?如果修改注册表那就太麻烦了,在windows的system文件夹下有一个regsvr32.e
阅读全文
摘要:REGEDIT注册 CMD LineCMD 线 CLI-Command Line InterpreterCLI-命令行解释器 To open the Run command Window.打开运行命令窗口。 What does the REGEDIT command do?REGEDIT 命令有什么
阅读全文
摘要:Windows PowerShell ISE 是什么 最近因为项目的需要,开始接触到了 Windows PowerShell ISE 这个软件。 其实最开始的理解就是 PowerShell 的升级版,真正用过 PowerShell 的童鞋对在 PowerShell 中进行编辑命令应该是非常头痛的。
阅读全文
摘要:netsh滥用例子: https://any.run/report/f77d0ef3d5aa74b233cb642fa5b6dab1c57c9cde503e1a3dd085dba621fbb45c/aa925b1d-19c8-497f-b328-3364e85297b4 ==》 删除防火墙规则:C:
阅读全文
摘要:Wmiprvse.exe进程详细参数 Wmiprvse.exe是Windows管理规范(WMI),它是微软 Windows 操作系统的一个组件,它能够实现为用户提供管理信息和企业环境中的控制功能。管理者可以用WMI查询和设置关于系统桌面、应用程序、网络,和其它组件的信息。有经验的开发人员可以用WMI
阅读全文
摘要:杂谈Java内存Webshell的攻与防 长小亭 网络安全知识的搬运工~ 3 人赞同了该文章 这篇文章主要以Tomcat为例子记录了一些关于Java内存Webshell利用与检测以及相关的思考。 内存Webshell的利用方式 现在的内存Websell的利用方式个人感觉可以分为以下三种: 1. 基于
阅读全文
摘要:java背景知识 实现方式:https://tttang.com/archive/1390/ 可参考 2.3.1 java反射 反射提供的功能,能在运行时(动态)的 1.获取一个类的所有成员变量和方法 2.创建一个类的对象 a.获取对象成员变量&赋值b.调用对象的方法c.判断对象所属的类 在注入内存
阅读全文
摘要:渗透测试常用文件传输方法-Windows篇(如何向Windows服务器中上传文件?) (゚益゚メ) 渗透测试 bitsadmin的详细使用可参考:https://toutiao.io/posts/bcz5e1o/preview 寻_觅 2021年04月23日 16:56 · 阅读 74 关注 文章目
阅读全文
摘要:AutoIt 恶意软件 2021 年 6 月 29 什么是恶意软件?它的目标是绕过计算机防御,感染目标,并在可能的情况下经常留在系统上。各种规避技术取决于作者的技能和预期受害者的防御能力之间的混合。恶意软件中使用最广泛的策略之一是混淆。混淆以打包程序、加密程序和字符串操作的形式出现,如果有效使用,它
阅读全文
摘要:cscript 项目 2022/03/08 10 个参与者 适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012 启动脚本以在命令行环境中
阅读全文
摘要:示例搜索hash:433dd4dce13e86688a3af13686c84d1c joesandbox的: 对于那些ps1,vbs脚本,内容可以预览。。。全部的难道要注册账号才可以看到??? anyrun的是可以下载和查看完整文件的!!太赞了!!!要是anyrun也有joesandbox那么丰富的
阅读全文
摘要:CyberGate RAT and RedLine Stealer Delivered in Ongoing AutoIt Malware Campaigns In our most recent blog, we had detailed a malware campaign that uses
阅读全文
摘要:如果你要看某样本分析报告:直接在any run里去搜索hash好了!!! 然后就可以看沙箱的详细报告。 我们再看下,jossandbox也是非常好用啊。 在result界面搜hash即可。 回到any run。 比如,我分析wannacry后,看att&ck攻击图: 比如我想看,持久化里面的部分,点
阅读全文
摘要:真实的攻击场景见: https://blog.csdn.net/weixin_39775029/article/details/112459238 certutil decode作为其中一个环节。 cmd / c lsass.com&键入ffXi.com >> lsass.com&del ffXi.
阅读全文
摘要:记一次与挖矿木马的较量 聚铭网络 2022-02-22 10:51:18 78105 1 一、概述 本文主要是记录了一次针对挖矿程序的应急响应处理,从三个部分来解读此次事件: 1、事件描述部分,确认是否有挖矿程序。 2、现场分析部分,讲了是如何一步一步杀掉挖矿程序。 3、程序分析部分,针对挖矿脚本的
阅读全文
摘要:黑客篡改开源项目制作恶意软件,多家外贸企业中招 原创 安全豹 2022-03-01 15:39:03 29207 3 概述 攻击事件介绍 近期,鹰眼情报中心监测到一批针对外贸行业相关企业人员的钓鱼攻击活动。此次钓鱼攻击的投放渠道为 AlibabaSupplier 这类电子商务平台的客户端和电子邮件,
阅读全文
摘要:https://www.anomali.com/blog/covid-19-themes-are-being-utilized-by-threat-actors-of-varying-sophistication 概述 威胁行为者正在利用 COVID-19(冠状病毒)的全球传播进行恶意活动。随着世界
阅读全文
摘要:什么是无文件攻击?如何通过安克诺斯网络保护阻止无文件攻击 http://www.stor.com.cn/netsafe/anquan/121J6452021.html 来源:存储网2021-12-17 16:57信息安全 我们都熟悉“恶意软件”一词 :几十年来,恶意软件不断地破坏数据,并不断地被防病
阅读全文
摘要:“幼象”组织针对巴基斯坦国防制造商的攻击活动分析报告 资讯 AntiyLab 2021-02-23 4,981 01 概述 “幼象”组织是一个来自南亚次大陆方向的APT攻击组织,其最早由安天在2020年1月15日发布的《“折纸”行动:针对南亚多国军政机构的网络攻击》[1]报告中所披露。“幼象”组织攻
阅读全文
摘要:COM Hijacking 本文介绍一下COM劫持 0x00 COM介绍 0x01 应用程序与COM注册表的关系 注册表 CLSID CLSID是如何创建的 CLSID 在注册表中的表现形式 0x01 COM 组件加载过程 0x02 COM 组件劫持的原理 0x03 COM 组件劫持案例 手动测试
阅读全文
摘要:我们看看原始的请求send to Intruder后,他会自动给你设置postion,我的例子一共有10个,如下所示(攻击的时候会将1-10的postion替换为空,而我要的效果是重放并发攻击,所以后面去掉了$): POST /ep108/gacha/play?p=§a§&mv=§1066§&id=
阅读全文
摘要:安芯网盾:高级威胁之ROP攻击篇 安芯网盾 2021-10-26 11:21:28 4130 在信息安全的江湖,始终存在着两个派系:攻击方和防守方。攻击方总想尝尽一切办法去突破防守方的防线,防守方则始终严防死守、做好安全防御、力保防线不失。而攻防博弈的过程是不对等的,攻击方一旦发现安全漏洞,便可以穿
阅读全文
摘要:CrowdScore 如何提高效率 2019 年 12 月 13 日 介绍 本文和视频将回顾 CrowdScore——一项从根本上改变客户与 Falcon 平台交互方式的功能。CrowdScore 利用 CrowdStrike 的云原生平台的强大功能来帮助公司应对常见挑战并更有效地调查和补救事件。
阅读全文
摘要:目录 2.1.工作组手动信息收集 1.查询网络配置信息 2.查询操作系统及安装软件的版本信息 3.查询本机服务信息 4.查询进程列表 5.查看启动程序信息 6.查看计划任务 7.查看主机开机时间 8.查看用户 9.列出或断开本地计算机和连接的客户端的会话 10.查询端口列表 11.查询补丁列表 12
阅读全文
摘要:第三章——隐藏通信隧道技术 目录 1.网络层隧道 1.pingtunnel 1.在web边界服务器上下载并运行ptunnel 2.在vps上运行ptunnel 3.在win7电脑上远程连接vps的1080端口 2.icmpsh 3.防御ICMP隧道攻击的方法 2.传输层隧道 1.lcx端口转发 2.
阅读全文
摘要:第8章 权限维持分析及防御 目录 第8章权限维持分析及防御 8.1操作系统后门分析与防范 8.1.1粘滞键后门 8.1.2注册表注入后门 8.1.3计划任务后门 8.1.6WMI型后门 8.2 Web后门分析与防范 8.3域控制器权限持久化与分析 8.3.1 DSRM 域后门 8.2 SSP 维持域
阅读全文
摘要:第七章跨域攻击及防御 很多大型企业都拥有自己的内网,一般通过域林进行共享资源。根握不同职能区分的部门,从逻辑上以主域和子域进行划分,方便统一管理。在物理层,通常使用防火墙将哥哥子公司及各个部门划分为不同的区域。攻击者如果得到了某个子公司或者某个部门 的域控制器权限,但没有得到整个公司的内网全部权限,
阅读全文
摘要:第6章域控制器安全 目录 第6章域控制器安全 6.1使用卷影拷贝服务提取ntds.dit 6.1.1通过ntdsutil.exe提取ntds.dit 6.1.2 利用 vssadmin提取 ntds.dit 6.1.3利用vssown.vbs脚本提取ntds.dit 6.1.4使用ntdsutil的
阅读全文
摘要:第5章域内横向移动分析及防御 目录 第5章域内横向移动分析及防御 5.1 常用Windows远程连接和相关命令 5.1.1 IPC 5.1.2使用Windows自带的工具获取远程主机信息 5.1.3计划任务 5.2Windows系统散列值获取分析与防范 5.2.1 LM Hash和NTLM Hash
阅读全文
摘要:第四章——权限提升分析及防御 目录 第4章权限提升分析及防御 4.1.1通过手动执行命令发现缺失补丁 1.通过whoami/groups查看当前权限 2.1查看系统补丁 2.2利用msf发现缺失补丁 3.Windows Exploit Suggester 4.powershell 中的Sherloc
阅读全文
摘要:内网DMZ外网之间的访问规则 当规划一个拥有DMZ的网络时候,我们可以明确各个网络之间的访问关系,可以确定以下六条访问控制策略。 1.内网可以访问外网 内网的用户显然需要自由地访问外网。在这一策略中,防火墙需要进行源地址转换。 2.内网可以访问DMZ 此策略是为了方便内网用户使用和管理DMZ中的服务
阅读全文
摘要:挖矿木马是利用各种方法入侵计算机,利用被入侵计算机的算力挖掘加密数字货币以牟取利益的木马。其既可以是一段自动化扫描、攻击的脚本,也可以集成在单个可执行文件中。挖矿木马为了能够长期在服务器中驻留,会采用多种安全对抗技术,如修改任务计划、修改防火墙配置、修改系统动态链接库等,使用这些技术手段严重时可能造
阅读全文
摘要:通过伪装PPID提权到SYSTEM PPID-Priv 简介 在指定父进程句柄的时候,子进程同时也会继承父进程的权限,这样的话我们也可以通过伪装PPID的方式进行提权,但是这样的技术会有一个较大的缺陷,如果使用process explorer等进程监控软件查看的话会显示在系统权限的进程下派生出了一个
阅读全文
摘要:微软安全技术Shim Shim是微软系统中一个小型函数库,用于透明地拦截API调用,修改传递的参数、自身处理操作、或把操作重定向到其他地方。Shim主要用于解决遗留应用程序在新版Windows系统上的兼容性问题,但Shim也可用于其他方面。例如上周微软紧急推出针对“微软Office Powerpoi
阅读全文
摘要:进程注入: https://attack.mitre.org/techniques/T1055/?msclkid=0659b61ac3a411ec8aea3b9f2df93791 从mitre的进程注入技术看,有下面这么多种类: Process Injection Dynamic-link Libr
阅读全文
摘要:原理 实现dll注入的方法有很多,比如创建远程线程,使用注册表,消息钩取,替换原dll等。 这里简单介绍一下最常用的方法,通过创建远程线程,即使用CreateRemoteThread函数对运行中的进程注入dll。 大致的流程如下: 获取目标进程句柄 HANDLE hProcess = NULL; /
阅读全文
摘要:检测反射DLL注入 Mick 22 c python windows delphi winapi 在过去几年中,恶意软件(以及Metasploit的计量器有效载荷等一些笔测试工具)已经开始使用反射DLL注入(PDF)将DLL加载到进程的内存中.好处是文件永远不会写入磁盘并且难以检测.我见过的很多例子
阅读全文
摘要:针对WannaRen勒索软件的梳理与分析 时间 : 2020年04月09日 来源: 安天CERT 1 概述 近日,安天CERT监测到国内多个论坛,贴吧等网站先后有受害者感染新型WannaRen勒索软件并进行求助,其名称与“WannaCry”相似,加密后会追加“.WannaRen”后缀名。 安天CER
阅读全文
摘要:NC.EXE结合线程插入技术做的一个后门 线程插入技术 我们知道,一个应用程序在运行之后,都会在系统之中产生一个进程,同时,每个进程分别对应了一个不同的进程标识符。系统会分配一个虚拟的内存空间地址段给这个进程,一切相关的程序操作,都会在这个虚拟的空间中进行。一般情况下,线程之间是相互独立的,当一个线
阅读全文
摘要:粒度细,如卡巴斯基SafeStream病毒库的分类标准。由下图所示,它是卡巴斯基整个对恶意代码分类体系,最上面的是蠕虫(Worm)和病毒(Virus),接着是后门(Backdoor)和Trojan,接着将Trojan按行为分成了很多类,最后是Rootkit和Exploit。从下往上是按照危害程度进行
阅读全文
摘要:后门程序 后门程序一般是指那些绕过安全性控制而获取对程序或系统访问权【目标就是远控】的程序方法。在软件的开发阶段,程序员常常会在软件内创建后门程序以便可以修改程序设计中的缺陷。但是,如果这些后门被其他人知道,或是在发布软件之前没有删除后门程序,那么它就成了安全风险,容易被黑客当成漏洞进行攻击。 目录
阅读全文