随笔分类 -  BlueTeam

1
摘要:RAR RAR 文件头 52 61 72 21 1A 07 00 RAR 文件尾 C4 3D 7B 00 40 07 00 Rar 文件主要由标记块,压缩文件头块,文件头块,结尾块组成。 其每一块大致分为以下几个字段: | 名称 | 大小 | 描述 | | - | - | - | | HEAD_CR 阅读全文
posted @ 2022-10-30 14:40 syscallwww 阅读(1062) 评论(0) 推荐(0) 编辑
摘要:PNG 注 : 笔记中拓扑图 xmind 源文件在其图片目录下 什么是PNG PNG 是 20 世纪 90 年代中期开始开发的图像文件存储格式,其目的是替代 GIF 和 TIFF 文件格式,同时增加一些 GIF 文件格式所不具备的特性。流式网络图形格式 (Portable Network Graph 阅读全文
posted @ 2022-10-30 14:37 syscallwww 阅读(767) 评论(0) 推荐(0) 编辑
摘要:PE PE 与 ELF 文件基本相同,也是采用了基于段的格式,同时 PE 也允许程序员将变量或者函数放在自定义的段中, GCC 中 attribute(section('name')) 扩展属性。 PE 文件的前身是 COFF,所以分析 PE 文件,先来看看 COFF 的文件格式,他保存在 WinN 阅读全文
posted @ 2022-10-30 14:30 syscallwww 阅读(170) 评论(0) 推荐(0) 编辑
摘要:JPG jpg 文件头 0xffd8ff 文件尾 0xffd9 JPG 的宽高在 FFC0 标志位后,第四五字节是高,第六七字节是宽 jpeg 没有透明度信息。 JPEG 文件大体上可以分成两个部分:标记码(Tag)和压缩数据。 标记码 标记码由两个字节构成,其前一个字节是固定值0xFF,后一个字节 阅读全文
posted @ 2022-10-30 14:27 syscallwww 阅读(2947) 评论(0) 推荐(0) 编辑
摘要:ELF 在进行逆向工程的开端,我们拿到 ELF 文件,或者是 PE 文件,首先要做的就是分析文件头,了解信息,进而逆向文件。 ELF文件的格式 目前流行的可执行文件格式(Executable)主要就是 Windows 下的 PE(Portable Executable)和 Linux 的 ELF(E 阅读全文
posted @ 2022-10-30 14:27 syscallwww 阅读(466) 评论(3) 推荐(0) 编辑
摘要:BMP 什么是BMP BMP(全称 Bitmap)是 Windows 操作系统中的标准图像文件格式,可以分成两类:设备有向量相关位图(DDB)和设备无向量相关位图(DIB),使用非常广。它采用位映射存储格式,除了图像深度可选以外,不采用其他任何压缩,因此,BMP 文件所占用的空间很大。BMP 文件的 阅读全文
posted @ 2022-10-30 14:26 syscallwww 阅读(165) 评论(0) 推荐(0) 编辑
摘要:文件头 文件的扩展名是用来识别文件类型的。通过给他指定扩展名,我们可以告诉自己,也告诉操作系统我们想用什么方式打开这个文件。比如我么会把 .jpg 的文件默认用图片显示软件打开,.zip 文件会默认用解压软件打开等等。 然而,扩展名完全是可以随便改改的。我们可以给文件设置一个任意的扩展名,当然也可以 阅读全文
posted @ 2022-10-30 14:25 syscallwww 阅读(270) 评论(0) 推荐(0) 编辑
摘要:USB取证 免责声明 本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关. 相关文章 USB - CTF Wiki USB流量取证分析 USB流量取证分析 深入理解USB流量数据包的抓取与分析 关于usb流量分析 相关工具 FzWjScJ/knm - 阅读全文
posted @ 2022-10-30 14:22 syscallwww 阅读(212) 评论(0) 推荐(0) 编辑
摘要:内存取证 免责声明 本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关. 简介 内存取证一般指对计算机及相关智能设备运行时的物理内存中存储的临时数据进行获取与分析,提取重要信息。 相关文章 计算机内存取证技术 数字取证-死活取证 Linux Foren 阅读全文
posted @ 2022-10-30 14:22 syscallwww 阅读(584) 评论(0) 推荐(0) 编辑
摘要:磁盘取证 免责声明 本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关. 简介 一般来说取证就是收集并分析证据,并为司法行动中的展示构建事实的一个过程。但在计算机技术中,或在计算机取证技术中,取证就是通过专门的技术来发现证据的过程,这些证据可被用于确认 阅读全文
posted @ 2022-10-30 14:21 syscallwww 阅读(647) 评论(0) 推荐(0) 编辑
摘要:ZIP明文攻击 免责声明 本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关. 相关工具 archpr(Advanced Archive Password Recovery) keyunluo/pkcrack kimci86/bkcrack wget 阅读全文
posted @ 2022-10-30 14:13 syscallwww 阅读(1592) 评论(0) 推荐(0) 编辑
摘要:yara 实验 免责声明 本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关. 什么是 yara YARA 是一款旨在帮助恶意软件研究人员识别和分类恶意软件样本的开源工具,使用 YARA 可以基于文本或二进制模式创建恶意软件家族描述信息,当然也可以是其 阅读全文
posted @ 2022-10-30 14:12 syscallwww 阅读(229) 评论(0) 推荐(0) 编辑
摘要:ClamAV 部署 免责声明 本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关. ubuntu 安装 apt-get install clamav apt-get install clamtk # 图形化界面,可以不装 安装完成之后查看版本信息 尝试 阅读全文
posted @ 2022-10-30 14:09 syscallwww 阅读(69) 评论(0) 推荐(0) 编辑
摘要:流量分析 注 : 笔记中流量包 pcapng 源文件在其图片目录下 免责声明 本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关. 相关工具 Wireshark odedshimon/BruteShark 火绒剑 process monitor 科来网 阅读全文
posted @ 2022-10-30 10:04 syscallwww 阅读(425) 评论(0) 推荐(0) 编辑
摘要:安防设施搭建使用 免责声明 本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关. 蜜罐 Conpot 一个由 glaslos 等人开发的,用于获得关于工控系统的威胁情报的开源 ICS/SCADA 蜜罐 项目地址 https://github.com/m 阅读全文
posted @ 2022-10-30 10:04 syscallwww 阅读(64) 评论(0) 推荐(0) 编辑
摘要:应急 免责声明 本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关. 应急离不开调查取证,请配合 取证 使用 大纲 威胁情报 情报中心 样本分析检测 恶意样本查询 钓鱼监测 暗网监测 URL分析 IP分析 PassiveDNS IOCs 系统层面 Ro 阅读全文
posted @ 2022-10-30 10:00 syscallwww 阅读(103) 评论(0) 推荐(0) 编辑
摘要:取证 注 : 笔记中拓扑图 xmind 源文件在其图片目录下 免责声明 本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关. 大纲 数据恢复 操作系统取证 Android Windows Linux 文件取证 压缩包 爆破压缩包 伪加密 明文攻击 CR 阅读全文
posted @ 2022-10-30 09:58 syscallwww 阅读(130) 评论(0) 推荐(0) 编辑
摘要:加固 免责声明 本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关. 大纲 基线核查 操作系统 Linux Windows web服务和中间件 业务软件 数据库 mysql 远程服务 SSH 基线核查 资源 CIS Benchmarks - 安全配置建 阅读全文
posted @ 2022-10-30 09:56 syscallwww 阅读(27) 评论(0) 推荐(0) 编辑
摘要:分析 免责声明 本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关. 分析工具 相关工具 fireeye/capa Yara YARA 是一款旨在帮助恶意软件研究人员识别和分类恶意软件样本的规则模板(由 virustotal 的软件工程师 Victor 阅读全文
posted @ 2022-10-30 09:55 syscallwww 阅读(39) 评论(0) 推荐(0) 编辑

1
点击右上角即可分享
微信分享提示