所谓好的用户体验 由 Ghostzhang 发表于 2012-07-16 19:20 怎样的用户体验才是好的用户体验呢?...好像有点跑题了,这次的思考是:并不是所有关注用户感受的体验就叫做是“好”的用户体验。 从何而来这想法呢?...上面的唠叨是一个引子,结果就是"不能赚钱的交互不是好交互",简单的说就是好的交互可以赚钱,可是不好的用户体验也是能赚钱的。...但是从商家的角度来说,我们需要考虑几个因素,第一个就是成本,这个是直接决定了能给用户提供最佳体验的上限到哪,好的椅子意味着更高的成本;其次是投入产出比,开门做生意,不为赚钱是很少的,投入越多,意味着盈利周期可能越长...麦当劳的椅子虽然用户体验不是最好的,但却是这么多年来产品与体验最好的平衡,从而实现利润的最大化。 当你再次遇到这种问题时,就知道如何处之泰然了。(本届 年会 的主题)
什么是应急响应? 通常来说,应急响应泛指安全技术人员在遇到突发事件后所采取的措施和行为。而突发事件则是指影响一个系统正常工作的情况。...多数企业都建立了应急响应的独立团队,通常称为计算机安全应急响应小组(Computer Security Incident Response Team,CSIRT),以响应计算机安全事件。...应急响应涉及多门学科,要求多种能力:通常要求从公司的不同部分获取资源。...人力资源部人员、法律顾问、技术专家、安全专家、公共安全官员、商业管理人员、最终用户、技术支持人员和其他涉及计算机安全应急响应的人员。当然这些人员大部分是兼职的,需要在应急响应工作中进行配合。...编者按:本文作者Sean Mason为思科公司事件应急响应服务部门主管,负责组织该公司内部事件响应实践3年多时间,本文由其作为博文发布在思科官网中。
提出论点 好的研究想法,兼顾摘果子和啃骨头。...两年前,曾看过刘知远老师的一篇文章《好的研究想法从哪里来》,直到现在印象依然很深刻,文中分析了摘低垂果实容易,但也容易撞车,啃骨头难,但也可能是个不错的选择。...学生年代,作为老师的一个不成器弟子,学术上没有什么建树,幸运的毕了业。现如今到了工业界摸爬滚打,虽然换了个环境,但是发现生存的道理没变。 反面例子 不好的工作想法会加剧“卷”的用户体验。...这样的工作体验确实很糟糕。 我的触发点 沿着你造梦的方向先动手干起来。一年前刚开始决定做攻击者画像的时候,其实心里有底也没底。...引用 好的研究想法从哪里来 杜跃进:数据安全治理的基本思路 来都来了。
网络安全应急响应的回顾与展望 一.什么是应急响应? 二.网络安全应急响应的启发 三.应急响应在安全保障整体工作中的作用 四.应急响应事件处理的一般阶段 五.安全应急响应的展望 ?...程序运行的效果非常好,其实是太好了以致莫里斯自己很快无法控制,出现了恐慌。...2001 CodeRed 红色代码——中国互联网安全应急预案以及应急响应体系 2001年的CodeRed红色代码事件促进了我国安全应急预案以及应急响应体系产生 红色代码 是2001年7月15日在互联网上观察到的一种电脑蠕虫...如果你有100万两黄金,有两个人地方你可以去放,一个是在沙哈拉沙漠,一个是在人民广场的箱子里,你会选择放在哪里呢?...,拿到我们的Shell,作为对应的安全人员,应有效制定出对应的应急响应流程,做到事件之前的防护,事件之中的检测,以及检测到以后的响应和恢复。
,但是对于被钓鱼的终端,我们却很难进行有效排查,因此写这篇文章分享一下自己对于windows操作系统应急响应的一些看......作者:凝 前言 对于linux而言,除了rootkit,大部分的后门均可以使用工具快速排查,但是对于被钓鱼的终端,我们却很难进行有效排查,因此写这篇文章分享一下自己对于windows操作系统应急响应的一些看法和心得...首先说钓鱼,钓鱼无异于是进入内网最便捷有效的一种方式 一般来说,一个合格的木马是具备权限维持的一些功能,即添加计划任务或者自启动等等,这也为我们的应急响应增添了不少的难度 实验木马: cs的免杀马+添加自启动...我们运行改exe程序-->弹框 同时cs上线 接下来我们假装什么都不知道,对该电脑进行应急响应 任务资源管理器 我们先说传统的一些套路,通过任务资源管理器查看 可以看到,在我们不进行操作的情况下,我们的恶意...以上也是个人在实际被钓鱼下的应急响应中不断思考形成的自己的一些应急思路,希望能给各位一些帮助
应急响应通用方法 查看日志 通过cmd输入eventvwr.msc打开事件查看器 在%SystemRoot%\System32\Winevt\Logs\位置存放着日志文件 常见的事件ID 安全日志...\..\ 内存马 简介:随着攻防演练热度越来越高,攻防双方的博弈,流量分析、EDR等专业安全设备被蓝方广泛使用,传统的文件上传的webshell或以文件形式驻留的后门越来越容易被检测到,内存马使用越来越多...base64编码后的结果 冰蝎3.0 快速识别特征方式 1、Accept字段 冰蝎中使用的Accept字段与常规浏览器使用的不同,且每次请求使用的Accept内容都相同 2、长连接 冰蝎通讯默认使用长连接...,避免了频繁的握手造成的资源开销。...默认情况下,请求头和响应头里会带有 Connection: Keep-Alive 3、较长的base64编码的请求包 在加密通讯时,p/jsp shell 会提交base64编码后的请求数据 哥斯拉
按理说我们这时候应该列出各种图表和操作命令系统截图,来溯源整个入侵的过程,辅助大家理解整个事件的前因后果。这也是“糖果的实验室”公众号,第二次写应急。...还有另一种纯工具实用主义类的介绍性文章,这里有大量的代码和对应的工具介绍,然而这种文章的回应也寥寥无几,一般都是好顶赞。但是还是要特别感谢朋友们的支持,默默的点击收藏的数量应该不是假的。...就算这种场合,也有会在评论里说,他们不关心娱乐,说这口才不适合做什么什么的应该去说相声, 对看文章找错别字的朋友,只能不好意思了。 接着主题说,问题既然这么发生了,接下来如何应急呢?...针对这一点,响应的一个办法就是将所有境外中国以外的服务请求全部关闭掉。 很明显,这个业务是一个地域性很强中文业务。不提供境外支付方式进行交易。大面积的订单都是在中国境内完成。...而业务,自己搭建的防护系统。其实相对更有针对性。因为业务指导自己的薄弱环节在哪里?担心自己哪里可能存在问题。这种问题是定制化的,不一定是通用的防护。系统可以解决的。 如果下次再有类似的入侵。
0X2 病毒查杀 定位到可能存在恶意软件的主机后,首先先使用杀毒软件或者 EDR 工具进行全盘扫描查杀一些简单常见热门的病毒一般都被收录在热门的特征库里面,扫描出来就可以以最小的时间成本识别与解决恶意文件...根据一些杀毒软件的报警就可以标识出恶意软件的类型与名字,如下图 为此一个兰塞姆(勒索)类型的Wannacry(想哭)家族的病毒样本,对于此类情况往往可以直接一键处理较为简单。 ?...通过此图可以发现 mssecsvc.exe 对大量随机的外网IP 的445 端口进行SYN 包的探测,这是Wannacry 病毒的传播过程。...对于一些其他的通信过程流量,我们往往需要通过其他方式来识别,这里推荐的Wireshark 的抓包工具进行抓包识别恶意流量,以下为Nmap的的端口扫描的数据包。 ?...\servicecrsssr.vbs的启动项,就是病毒的自己添加的,定位到路径后直接删除。
DFIRTriage描述 DFIRTriage这款工具旨在为安全事件应急响应人员快速提供目标主机的相关数据。...该工具在运行过程中,将会自动化执行各种命令,获取到的数据将存储在工具执行目录的根目录下。除此之外,DFIRTriage还可以直接从USB驱动器中运行,也可以通过远程Shell来在目标主机上运行。...; 2、搜索工具为独立的可执行文件-dtfind.exe; 3、双击即可运行 依赖环境 工具库包含正确执行所需的完整工具集,并打包到一个名为“core.ir”的单个文件中。...在Python中运行时,此“.ir”文件是DFIRtriage唯一必需的依赖项,位于名为data的目录中(即“/data/core.ir”)。...DFIRtriage的编译版本嵌入了完整的工具集,不需要添加“./data/core.ir”文件。注:不再使用TZWorks实用程序。
针对蓝队的一些Linux应急响应的一些常规的命令以及一些思路总结一下分享给大家,内容稍长,可以收藏以备不时之需。...查看Linux中占用资源情况(必须是大写的cpu) top -c -o %CPU -c 显示进程的命令行 -p 显示进程的pid cpu占用前5的信息 ps -eo pid,ppid,%mem,%cpu...,cmd --sort=-%cpu | head -n 5 查看网络通信的情况 lsof -i -PnR 寻找pid对应的进程 ps aux | grep [pid] 查看进程打开的文件 lsof...INPUT/OUTPUT -s/d [目标ip] -j ACCEPT/DROP //封闭119.1地址对本机的访问 iptable -L //查看设置的所有规则内容 iptable -F...ls -al /tmp | grep "Feb 10" 敏感目录 /tmp /root /bin /usr/bin /usr/sbin /sbin 被入侵的系统,肯定有文件被改动,通过比较文件的md5
在发现入侵事件时,基于入侵现象进行排查,结合日志进行关联分析,对未知情况作合理的猜测,还原攻击场景,找到漏洞根源,这是很重要的任务。...(2)排查异常进程 查看进程情况,在进程信息中找到了反弹shell命令的特征,base64解码后的通讯ip,与上面发现的一致。执行shell反弹的父进程位60753,该进程为java进程。 ?...(4)web日志分析 java进程所对应的是web应用程序,基于异常命令执行的时间节点,对相关web日志进行分析,确认入侵时间范围内是否存在可疑的行为。 ?...未发现异常的web访问行为,都只有访问网站首页的记录,那么它到底是如何入侵的呢? 合理的猜测:结合前面发现Java进程执行dnslog探测等行为,猜测可能存在框架组件存在远程命令执行漏洞。...(5)web框架组件 在web框架组件中,发现低版本的shiro组件,存在明显的远程命令执行漏洞。
Atlassian 上有一些优秀的文档很好地解释了这些概念。 简单来说: 应急角色可随着你响应团队的成长而帮助扩展应急规模。角色有助于分离职责,确保应急工作的各个方面都有专人值守。...我认为,指挥官和联络人是至关重要的——在没有足够培训的前提下增加粒度会扰乱应急工作,并削弱你的响应能力。...第三,使用高效率工具、创建应急文档 鉴于沟通交流在应急响应工作中的重要性,你需要一款高效率工具来传递即时消息并记录操作日志。...为了准备好这个通道,多花费一分钟的停机时间也是值得的。 我坚决反对私有应急响应频道。公司内部使用的公共通道可以提升信息访问的便捷性,从而加强你的响应能力。...这份列表缺失的内容还有很多,但你可以把它当作一个入门包,也可以作为经验丰富的人员在制定应急响应流程中关键环节时的一个参考。 只要记住:深吸一口气、关照好同事、批判系统而非人员、不要着急。祝大家好运!
在本文中,我们会详细介绍针对上述场景的应急响应方案。另外,这一威胁对信息安全策略和安全布局的颠覆,我们可以用一些简单的方法进行缓解。...事件响应 与大多数网络事件一样,你只需要加载备份和配置就能恢复你的基础设施。在这个事件当中,所有的服务器其实并没有受到损害。 在这些情况下,你有两件事要做: 第一,找回域名注册网站上的登陆凭证。...网站凭证是如何失窃的 在这期间,公司应急响应团队中有一部分人员负责恢复网络环境,另一部分人员开始分析凭证失窃的原因。...建立事件响应计划 你需要有一个针对这类事件的详尽的应对措施,咱们总会有用到的时候。...另外,大家需要注意的是,计划中需要包括: 域名注册商的紧急联系方式(联系人和电话号码) 提醒客户的另一个安全途径(非email) 同域名注册商建立常规应急通信流程(如模拟练习) * 参考来源:Linkedin
该脚本使用WMI来获取服务的ACL,并识别非管理员的DC、WD或WO权限。 这些权限中的任何一个都允许持有该权限的用户立即提升到localsystem。
2016 上一顿尝试,发现 Index 的值只有是 0 的时候才有隐藏效果 所以可以通过排查计划任务的注册表,找出所有 Index 为 0 的就可以了 这样检查难度就小很多了,但是如果将计划任务放在了很深的目录...,原来默认存在这么多 Index 为 0 的计划任务 当然这里也打印了我们的隐藏计划任务 test1 这里将 Windows Server 2016 默认的计划任务中 Index 为 0 的详细内容记录下来...计划任务执行效果 计划任务正常执行 这个细节之前的文章里没有写,这才是让应急响应人员头疼的部分 5....,查询不存在的 test5 的时候是找不到指定的文件 如果大家在测试的过程中没有注意细节,很可能与一些发现失之交臂 2. powershell Get-ScheduledTask | findstr "...再次重启计划任务服务 重启后计划任务就没了 如果看过上一篇文章的朋友肯定能知道这是为什么 《计划任务执行由谁决定 | Windows 应急响应》 0x08 总结 一场有意思的对抗 将这类隐藏大体按照以下分类
1.4 应急处置 根据上述分析结论,应急处置如下: 已删除被攻击者恶意上传至oa服务器的web后门文件jsp、tt.jsp、ts.jsp、aaa.jsp、tunnel.jsp; 已删除被攻击者恶意上传的内网渗透工具包.../tmp/test1; 1.5 处理建议 根据上述分析结论和应急处置结果,提供安全建议如下: 建议关闭oa系统对互联网的直接服务,改为通过sslvn接入内网后访问oa系统。...2 详细分析过程 2.1 OA系统服务器 2.1.1 日志分析 根据IPS告警情况,4月15日15点34分左右存在webshell上传行为触发告警,动作为RESET重置,怀疑此刻存在攻击行为,立即进行应急响应...根据最早的异常文件test3.jsp文件的修改时间,进行web日志关联排查,发现16点59分日志共记录了6条攻击者记录,第一条即为攻击者117.136.38.153尝试访问test3.jsp后门文件,响应码为...安全监测、防护设备告警误报研判、重点关注内向外的异常流量。 流量回溯,发现0day的利器。同时也是应急响应溯源分析的有力工具。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。...工具介绍 xpoc是xray2.0系列的第一款工具,它是一款为提供应链漏洞扫描设计的快速应急响应工具 [快速应急] [漏洞扫描] [端口扫描];单文件二进制文件,无依赖,也无需安装,下载后直接使用。...工具特点 支持云端获取POC,可以以最快的速度进行响应紧急响应 使用xray yaml poc脚本格式,支持TCP/UDP协议的插件的编写和加载,并可以使用golang自定义插件实现功能增强 自定义golang...插件,支持更多种类的漏洞测试,支持加载工具插件等 漏洞扫描 向yaml脚注进入新功能 自我义贼虫 网页截图 ......查看所有云端的POC ./xpoc list -a 3. 批量扫描 ./xpoc < targets.txt cat targets.txt | ./xpoc .
简介 拷贝取证只是一部分人的需求,可能是取证人员,也可能是需要做交接的应急人员等 这篇文章从各种角度探索拷贝取证的方法,并通过组合拳完成对一个进程的拷贝 虚拟化平台 使用自带的虚拟化快照功能 直接把整个系统打包带走...-USR1 dd 从 /dev/sda 硬盘结构上看已经恢复了,现在测试看能不能正常运行 成功启动,克隆成功,克隆的镜像可以直接作为取证材料或者交由其他应急响应人员分析、探究 G4L G4L...500G硬盘了,目的驱动器就是新装的系统的硬盘 开始克隆 结果很尴尬,克隆进度直接停留在这个位置上了 新建的系统分配的硬盘是64G,而数据盘的大小是 500G ,讽刺的是实际上我们需要的数据只有...Linux 处反弹shell 是否依旧正常 此时连接已经断了 静待五分钟,用来模拟正常应急中因为各种原因造成的时间间隔 恢复进程执行 sudo criu restore -vvvv --shell-job...,代码就算了,这代码连异常都不处理 这个工具是一个取证工具,通过自定义的文件库对当前系统的响应文件进行复制,之后打包成ISO,还支持通过 yara 语法对文件进行匹配检查 很多时候,我们并不能关闭受害系统
地到了现场做应急处置,至于为什么称之为诡异请看下述分析。...页面发生了篡改说明攻击者已经拿到了服务器一定的权限那么很有可能会留存有webshell后门文件,因为网站文件过多,老规矩一上来就先利用D盾对这18个网站的目录进行后门文件的查杀,在查杀的同时也可以利用这个时间去找找其他可疑的点...,很像是网站的全局动态文件劫持的手法。...定位根据文件的路径定位到所在的C盘Windows\System32\inetsrv目录下,发现这两个dll并无任何信息任何的数字签名,dll的修改的时间为1月5号23:33分也就是发生篡改的前一天,将两个...总结 通过以上分析,网页防篡改功能确实已经开启了但防护的仅仅只是WEB目录,经过验证后门是可以实现通过WEB跨目录到C盘下的操作的,入侵者也是利用了这点植入恶意的dll文件劫持IIS达到了篡改网站的目的
关于Pywirt Pywirt是一款基于Python开发的网络安全工具,该工具专门针对Windows操作系统设计,可以帮助广大研究人员使用winrm并通过在Windows操作系统上收集各种信息来加快安全事件应急响应的速度...注册表控制 TCP&UDP活动端口 文件共享 文件信息 防火墙配置 会话信息 开放会话 日志条目 工具安装 由于该工具基于Python 3开发,因此广大研究人员首先需要在本地设备上安装并配置好Python...接下来,使用下列命令将该项目源码克隆至本地: git clone https://github.com/t3l3machus/eviltree.git 接下来,运行下列命令完成工具依赖组件的安装:
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
