近日发现新版本的WatchBog:自2018年底开始运行的加密货币挖掘僵尸网络。自6月初开始已有超过4,500台Linux机器遭到破坏。在新的Linux漏洞利用中,该版本WatchBog实现了BlueKeep RDP协议漏洞扫描模块,这表明WatchBog正在记录所有有漏洞的系统ip,以便将来进行攻击或出售给第三方获取利润。
摘要 本文主要展示了从电脑管家CPU占用过高问题发现到解决的全过程。包括分析问题的思路、解决问题的方法、压力测试的设计、优化前后数据对比等。同时,在末尾分享了自动弹窗工具的设计思路,以及笔者对于测试自动化的一些思考和看法。 一、导火索 某天,我们接到一例用户反馈——问题的核心的在于管家在没有触发任何漏洞、扫毒、垃圾清理和体检的场景下,却占用了比较高的CPU资源。截图如下: 但是这个问题在测试过程中是从未出现,而且从用户反馈的场景描述中,也提取不出必现路径和关键逻辑。为此,我们主动联系该用户,在用户许可并
对于windows系统的编程开发,微软一开始提供了基于VB语言的接口,后来又推出了.NET框架。对于word等offices套件的自动化操作,由于原生支持的特性,采用这些语言是最为方便且灵活的,唯一的缺点就是这些语言的学习成本相对较高。
该系列文章将系统整理和深入学习系统安全、逆向分析和恶意代码检测,文章会更加聚焦,更加系统,更加深入,也是作者的慢慢成长史。漫漫长征路,偏向虎山行。享受过程,一起加油~
PowerShell一直是网络攻防对抗中关注的热点技术,其具备的无文件特性、LotL特性以及良好的易用性使其广泛使用于各类攻击场景。为了捕获利用PowerShell的攻击行为,越来越多的安全从业人员使用PowerShell事件日志进行日志分析,提取Post-Exploitation等攻击记录,进行企业安全的监测预警、分析溯源及取证工作。随之而来,如何躲避事件日志记录成为攻防博弈的重要一环,围绕PowerShell事件查看器不断改善的安全特性,攻击者利用多种技巧与方法破坏PowerShell日志工具自身数据,以及事件记录的完整性。今年10月份微软发布补丁的CVE-2018-8415正是再次突破PowerShell事件查看器记录的又一方法,本文将细数PowerShell各大版本的日志功能安全特性,及针对其版本的攻击手段,品析攻防博弈中的攻击思路与技巧。
用户代理可以将普通的爬虫请求伪装成浏览器发出的请求,从而绕过目标网站的反扒机制。获取用户代理,最基本的方式就是在自己的浏览器中进行查看,图示如下
Roslyn的PM(程序经理) Bill Chiles,Roslyn使用纯托管代码开发,但性能超过之前使用C++编写的原生实现,这有什么秘诀呢?他最近写了一篇文章叫做《Essential Performance Facts and .NET Framework Tips》里头推荐了一个性能分析工具《Improving Your App's Performance with PerfView》。PerfView能够收集Windows事件跟踪(ETW)数据来追踪程序的调用流向,这些程序通过调用哪个函数识别频率。
在日益复杂的互联网活动中,一个网络防火墙扮演着防备潜在的恶意的活动的屏障,并可通过一个”门”来允许人们在你的安全网络和开放的不安全的网络之间通信。今天,小编推荐国产开源的防火墙软件,希望能够给大家带来一些帮助。 如果大家有好的防火墙开源项目,也可以托管到码云上,我们会及时给予推荐。最后,如果你很喜欢以下提到的项目,别忘了分享给其他人哦。 码云项目推荐 1、项目名称:Web 应用防护系统 OpenWAF 项目简介:OpenWAF 是第一个全方位开源的 Web 应用防护系统(WAF),它基于 nginx
2017年3月7日,维基解密首次在其网站对外曝光了美国中央情报局(CIA)相关资料,并且代号为Vault7[参考链接: 5],并且从当月直至9月7日每周都会对外披露其中一个项目的相关资料内容[4]。在这批泄露资料中,主要涉及其相关网络武器库和行动项目的代号和对应文档介绍,鲜有具体的涉及implant(植入物)的技术实现和利用细节。
KDnuggets2018年的一个博客发起了一项投票:数据科学中最好用的Python IDE是什么? 本次调查共有1900多人参与,调查结果如下图所示。前5个选择是: Jupyter,57% PyCharm,35% Spyder,27% Visual Studio Code,21% Sublime Text,12%
2018年,Purple Fox(紫狐)在野感染超过 30000 台计算机后被首次发现。Purple Fox通过漏洞利用和钓鱼邮件进行传播分发,自身还充当其他恶意软件的 Downloader。
作为一个加密货币挖矿软件,StripedFly常年隐藏在一个支持Linux和Windows的复杂模块化框架后面。它配备了一个内置的TOR网络隧道,用于与命令控制(C2)服务器通信,同时通过可信服务(如GitLab、GitHub和Bitbucket)进行更新和交付功能,所有这一切都使用自定义加密归档。可以说,创建这个框架所付诸的努力确实十分了不起,同样地,它所披露的真相也相当惊人。
从第一次拖着行李入京找活,至今已工作若干年了。这些年一直追逐自己的梦想,跑过三个城市,换了三份工作,认识了很多业内的朋友。和朋友们闲聊时,发现很多人都已经不再做客户端软件了。有的转去做管理,有的转去做IOS,有的转去做安卓,有的转去做投资,“坚守”的人真的不多。曾经朋友开玩笑,说我们都是抱着微软的大腿,如果微软倒了,我们就失业了。我们说这句话时,多半是抱着戏谑的态度。时过境迁,随着移动互联网的兴起,PC的没落是难免的。相应的PC客户端没落,从业人数减少,现在想招一个合格的windows程序员已经非常难了。或许是出于一种纪念,我想起编写该系列博客,和大家讲讲windows客户端软件开发中的点点技术。让大家可以清晰了解到一款软件的诞生之旅。(转载请指明出于breaksoftware的csdn博客)
近期,绿盟威胁情报中心(NTI)在一次应急响应中,发现一起使用模块化恶意工具集“NuggetPhantom(掘金幽灵)”的安全事件。据我们观测,本次安全事件背后的组织最早出现于2016年底,其曾在2016年底的“天翼校园客户端蓝屏事件”以及2017年底的“天翼校园客户端挖矿程序事件”中有所行动。
TrickBot通过不断增加窃取用户凭证的新模块而不断进化,我们已发布的最新进展是关于它的pwgrab32模块。最近,我们又发现了一个新的POS相关的恶意模块,使得该银行木马更加危险。一旦受感染的计算机连接到支持POS服务和设备的网络,新模块将开始活动。
近日, GitHub上公开了CVE-2017-8464漏洞的metasploit-framework利用模块。根据测试记录,利用模块在Windows 10 x64 (Build 14393)版本上有效:https://github.com/ykoster/metasploit-framework/blob/b669b9fb81efdec4f59177116ee9524d71527d37/documentation/modules/exploit/windows/fileformat/cve_2017_846
攻击溯源图是描述攻击者攻击行为相关的上下文信息,利用攻击溯源信息来挖掘攻击相关的线索是当前研究的热点。研究人员发现依靠系统监控日志数据构造具有较强抽象表达能力的溯源图进行因果关系分析,能有效表达威胁事件的起因、攻击路径和攻击影响,为威胁发现和取证分析提供较高的检测效率和稳健性。
【*绿盟科技M01N Team研究岗长期招聘CTF、Pentest、RE、PWN、WEB,请在文末进行了解!】
近日,互联网上爆发了一种名为 lucky 的勒索病毒,该病毒会将指定文件加密并修改后缀名为 .lucky。
简单来说,node是跨平台的,那么对于任何的node模块理论也是应该是跨平台的。然而,有些node模块直接或间接使用原生C/C++代码,这些东西要跨平台,就需要使用源码根据实际的操作平台环境进行原生模块编译。SQLite3就是一个经典的原生模块,让我们以安装该模块为例,探索一下安装原生模块的流程。
1、需求背景 为什么要这样干呢?因为 Python 虽然号称跨平台,但是一些和操作系统相关的函数 API,windows 下也还是只能干瞪眼用不了,比如 import fcntl 这在 windows 下是没法用的,这就给开发测试带来了不便,在两个异构系统上,没法无缝切换 work。因此,能想到的就是利用 windows 上的 Cygwin 模拟 linux,然后 Pycharm 去调用 Cygwin 下的 Python 即可。 2、配置环境变量以及 PyCharm 参数 2.1 环境变量 CYGWIN
近日,火绒安全实验室监测到蠕虫病毒“Prometei”正在全网传播。该病毒通过横向渗透攻击方式对局域网中的终端进行大面积入侵,并且可以跨平台(Windows、Linux、macOS等系统)横向传播。火绒安全提醒广大用户,尤其是企业、政府部门、学校、医院等拥有大型局域网机构,及时做好排查与防护工作,避免受到该病毒影响。目前,火绒安全(个人版、企业版)产品已对该病毒进行拦截查杀。
1 需求整理1.1 实现目的基于CS架构,模拟用户(鼠标、键盘)操作,达到快速、重复执行测试用例;便于回归测试,快速覆盖主线用例或功能;线上或线下巡检测试,结合持续集成,及时发现运行环境存在的问题;提升个人自动化测试技术能力,为业务提供强有力的测试手段。1.2 功能需求基于Unittest,封装、调用和组织所有的测试用例,进行批量或指定用例运行;支持邮件服务,可添加任意团队成员邮箱,及时通知团队成员自动化运行结果;支持log日志,保存运行过程所有或需要记录的数据;支持HTML测试报告,直观展示测试结果和数据
本文将对 CVE-2016-0165 (MS16-039) 漏洞进行一次简单的分析,并尝试构造其漏洞利用和内核提权验证代码,以及实现对应利用样本的检测逻辑。分析环境为 Windows 7 x86 SP1 基础环境的虚拟机,配置 1.5GB 的内存。
TrickBot于2016年被首次发现,其主要目的是窃取目标主机数据,安装恶意软件后门。TrickBot拥有不同的功能模块,可从受感染的Windows客户端传感染DC。在2020年4月,TrickBot将其传播模块“mworm”更新为“nworm”。nworm不会在DC上留下任何痕迹,服务器重新启动或关闭后会消失。
研究人员为深入分析 Emotet 核心组件和其他模块,专门开发了名为 EmoLoad 的工具,使用该工具可以单独加载执行 Emotet 的模块。
0x00 引子 最近开始要在部门内进行 WinDbg 漏洞分析方面的专题showcase,打算将每次分享的内容整理成文章,希望能写一个系列。另外,鉴于笔者还在学习中,不对的地方还望各位多多指正:D 0x01 概述 本文将作为此系列的开篇,首先会提及Windows进程的知识,而后就进入正式的漏洞分析,此次选的是一个IE漏洞(CVE-2012-1876)。需要说明一点,随着微软在自身安全上的不断改进,漏洞利用的难度也越来越大,出于学习目的这里主要关注比较经典的漏洞,虽然有些可能比较老了,但还是很有借鉴意义的。
作者:answerboy @知道创宇404积极防御实验室 时间:2020年8月5日
反病毒虚拟机是一个很有优势的工具,可以说反病毒软件是否存在模拟器是衡量反病毒软件能力的一个指标。反病毒虚拟机不光是内嵌在反病毒软件内部,来动态执行样本。这种虚拟机一般也可以单独用来动态执行批量样本,检
FFmpeg: Fast Forward Moving Picture Experts Group(mpeg:动态图像专家组) H.264:国际标准化组织(ISO)和国际电信联盟(ITU)共同提出的继MPEG4之后的新一代数字视频压缩格式.H.264是ITU-T以H.26x系列为名称命名的标准之一 AVC(Advaned Video Coding):ISO/IEC MPEG一方对H.264的称呼 序列的参数集(SPS):包括了一个图像序列的所有信息 图像的参数集(PPS):包括了一个图像所有片的信息 MinGW-w64:MinGW是Minimalist GNU for Windows的缩写,ffmpeg在Windows平台中的编译需要使用MinGW-w64,它提供了一系列的工具链来辅助编译Windows的本地化程序。MinGW-w64单独使用起来会比较麻烦,但是其可以与MSYS环境配合使用,MSYS是Minimal SYSYTEM的缩写,其主要完成的工作为UNIX on Windows的功能。显而易见,这是一个仿生UNIX环境的Windows工具集。
在Project Zero,我们经常把我们的目标简单地称为 "让0天变得更难"。团队成员主要通过进攻性安全研究的角度来处理这一挑战。而我们为了保持在该领域的领先地位,会经常实验新的目标和方法,但重要的是,团队不能偏离当前的技术水平太远。我们在这方面的努力之一是跟踪公开的已知零日漏洞案例。我们利用这些信息来指导研究工作。遗憾的是,公开的零日报告很少包括捕获的漏洞,而这些漏洞可以为现实世界中的攻击者所做的利用技术和设计决策提供宝贵的见解。此外,我们认为安全社区在检测0天漏洞的能力方面存在差距。
病毒、木马是黑客实施网络攻击的常用兵器,有些木马、病毒可以通过免杀技术的加持躲过主流杀毒软件的查杀,从而实现在受害者机器上长期驻留并传播。
简介 SPSS(Statistical Product and Service Solutions),"统计产品与服务解决方案"软件。最初软件全称为"社会科学统计软件包"(SolutionsStatistical Package for the Social Sciences),但是随着SPSS产品服务领域的扩大和服务深度的增加,SPSS公司已于2000年正式将英文全称更改为"统计产品与服务解决方案",这标志着SPSS的战略方向正在做出重大调整。SPSS为IBM公司推出的一系列用于统计学分析运算、数
使用lsassy可以对远程机器进行自动化的lsass.exe内存dump和解析,利用过程如下:
近日,火绒安全团队截获蠕虫病毒“MinerGuard”新变种,严重威胁企业用户。该病毒通过网络服务器漏洞以及暴力破解服务器的方式迅速传播,并且可跨平台(Windows、linux)交叉感染。病毒入侵电脑后,会释放挖矿病毒挖取门罗币。此外,病毒作者可随时通过远程服务器更新病毒模块,甚至利用以太坊(区块链平台)钱包更新病毒服务器地址。
1. OpenCV 介绍 OpenCV是一个基于Apache2.0许可(开源)发行的跨平台计算机视觉和机器学习软件库,可以运行在Linux、Windows、Android和Mac OS操作系统上。 [1] 它轻量级而且高效——由一系列 C 函数和少量 C++ 类构成,同时提供了Python、Ruby、MATLAB等语言的接口,实现了图像处理和计算机视觉方面的很多通用算法。 OpenCV用C++语言编写,它具有C ++,Python,Java和MATLAB接口,并支持Windows,Linux,Andro
Empire是一款针对Windows平台的,使用PowerShell脚本作为攻击载荷的渗透攻击框架代码具有从stager生成,提权到渗透维持的一系列功能,无需powershell.exe就可以使用powershell的代理功能还可以快速在后期部署漏洞利用模块,内置模块有键盘记录,Mimikatz,绕过UAC,内网扫描等,可以躲避网络检测和大部分安全防护工具,类似于Meterpreter,是一个基于PowerShell的远控木马(www.powershellempire.com)
Python是一种高级,面向对象,动态,多用途,独立于平台的编程语言,即多范式语言。它用于数据分析、机器人和人工智能、机器学习等领域。Python 支持多种编程范式,包括面向对象编程、结构化编程和某些函数式编程功能。Python还支持合约编程和逻辑编程,但只能在扩展的帮助下。
在windows系统下使用pip install PySid2安装PySide2模块的时候出现下面的错误:
渗透测试平台类: Metasploit,这个大家都不陌生了,集信息收集,预渗透,渗透,后渗透,木马,社会工程学于一体的平台,居家旅行,杀人越货之必备。SET(Social-engineer-toolkit) 主要用来做社工平台,邮件伪造,dns劫持,以及office钓鱼。 Cobaltstrike,目前来说最好用的针对windows的渗透平台,也是目前最牛逼的APT协同工作平台。扩展性很强,兼容各种平台,独立的框架,不依赖于其他框架,提供了丰富的第三方接口,可以进行内网渗透,社工钓鱼,木马远控以
1、Python 的解释器在导入模块时,会搜索当前目录指定模块名的文件,如果有就直接导入。
osquery 是 SQL 驱动的分析和监控操作系统的工具,是操作系统分析框架,支持 OS X 和 Linux 系统。osquery 能帮助监控和分析低水平的操作系统,提供更直观的性能监控。
乌鸦安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。
2022/11/23,朋友在攻防演练中遇到的一个Tomcat Webshell,Administrator高权限用户,但是因为目标主机上有360套装而无法抓取明文密码,这篇文章将记录下这种场景下的绕过方式。
PyCharm 几乎是最受欢迎的 Python 开发工具,相信很多同学都在使用,那么,如何高效地使用它,提升工作效率呢?今天分享的这个系列文章,介绍了一些使用技巧,一起来看看吧!
CSAS-轻松感官分析软件是一款为开展规范的感官评价活动开发的计算机管理软件。软件的主体功能是感官检验模块,可实现感官检验实验设计、结果录入、结果分析、报告输出的在线自动化。采用在全球及全国范围内普遍认可、协调一致的感官分析标准化方法,按照感官分析国际标准(ISO)和我国国家标准(GB)要求,并结合良好的感官分析实践,以流程提示、任务列表、任务实施的配套功能(各类图表生成和统计方法后台链接)等形式,方便实现样品制备、样品提供、评价员评价、结果汇总、结果分析、检验报告等感官评价的主要活动过程并进行有效管理。此外,该系统还配置了信息查询功能模块,可为用户提供电子书式的感官分析知识查询,以及感官评价活动的历史记录检索。系统设计采用模块级安全管理,确保用户数据的完整性和安全性。该软件可广泛应用于从事产品感官分析的实验室、企业行业、检测机构和科研机构等。
QGIS是一个开放源码的地理信息系统。该项目诞生于2002年5月,并于同年6月作为SourceForge上的一个项目建立。我们一直在努力使GIS软件(传统上是昂贵的专有软件)成为任何人都可以使用个人电脑的可行前景。QGIS目前运行在大多数Unix平台、Windows和macOS上。QGIS是使用Qt工具包和c++开发的。这意味着QGIS有一个清爽、易于使用的图形用户界面(GUI)。
这是作者新开的一个专栏,主要翻译国外知名安全厂商的APT报告,了解它们的安全技术,学习它们溯源APT组织的方法,希望对您有所帮助。前文分享了Rampant Kitten攻击活动,包括Windows信息窃取程序、Android后门和电报网络钓鱼页面。这篇文章将介绍APT组织拉撒路(Lazarus)使用的两款恶意软件,并进行详细分析。个人感觉这篇文章应该是韩国或日本安全人员撰写,整体分析的深度距安全大厂(FireEye、卡巴斯基、360)的APT报告还有差距,但文章内容仍值得我们学习。
作者前文介绍了PE文件格式,熟悉各种PE编辑查看工具,针对目标EXE程序新增对话框等;这篇文章将介绍Windows PE病毒, 包括PE病毒原理、分类及感染方式详解,并通过案例进行介绍。这些基础性知识不仅和系统安全相关,同样与我们身边的APP、常用软件及操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。本文参考了《软件安全》视频、安全网站和参考文献中的文章,并结合自己的经验和实践进行撰写,也推荐大家阅读参考文献。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
实时音视频
对象存储
云直播
