展开

关键词

说说Windows

随着网络的快速发展,不少的互联网公司都积极的参与到了这个领域,随着《网络法》颁布与实施、等保2.0的颁布等为网路发展提供了有力的后盾。一个事物的快速发展,也会引起其它不利的事物萌芽。 在互联网高速发展的时代,我们保护个人信息不被窃取、不被不法分子当作利益的筹码,当我们遇到入侵事件的时候,我们该怎么办,第一步怎么办,怎么推进排查过程、是否有预案等,这都是我们需要了解的。 说了这么多下面小白浅谈一下,我们看一下windows处理。 Windows处置 攻击者入侵一个网站必然会对企业的业务系统造成不同程度的损害,即使入侵不成功,也会使业务系统访问缓慢,即使在网络良好的情况下。 言归正传,我们首先将服务器的用日志、日志、程序日志拷贝下来,进行本地分析一下入侵者的信息或者故障信息。

47220

事件工具箱

收集了一些常见的事件工具和资源列表,总收集47款实用工具,包括多引擎病毒检测、病毒查杀、勒索病毒搜索引擎、webshell检测、在线沙箱、分析、流量分析和日志分析等工具。 https://sd.360.cn/ 火绒软件:一款非常精致的软件,包含了火绒剑,专业人士很好用的分析工具。 edr.sangfor.com.cn/#/information/ransom_search 05、Webshell检测工具 网站被入侵时,我们需要一款Webshell检测工具,来帮助我们发现webshell,进一步排查系统可能存在的漏洞 :  微点沙箱:  魔盾分析:  大圣云沙箱: 07、分析工具 SysinternalsSuite:包含一系列免费的系统分析工具,Process Explorer、启动项分析工具 AutoRuns https://processhacker.sourceforge.io/ SysInspector:一个免费的系统检测工具。

56440
  • 广告
    关闭

    腾讯云618采购季来袭!

    一键领取预热专享618元代金券,2核2G云服务器爆品秒杀低至18元!云产品首单低0.8折起,企业用户购买域名1元起…

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    工具年末大放送

    为了帮助分析师更好的完成工作,小编整理了一些现在比较流行的工具和资源,从磁盘镜像工具、内存分析工具到内存镜像工具、沙盒/逆向工具等,相信总有一款适合你。 磁盘镜像工具 ? Memoryze:Mandiant公司的Memoryze是一款免费的内存取证软件,可帮助人员从实时内存中找到关键问题,Memoryze能捕获或者分析内存镜像。 GRR Rapid Response:GRR Rapid Response是一款专注于远程实时取证的事件框架,它由一个装在目标系统上的Python代理(客户端)和一个可与Python代理连接的Python FIR:Fast Incident Response (FIR) 是一款以快速简单为设计思想的网络事件管理平台,允许简单快速,跟踪,报告网络事件,对于CSIRTs,CERTs和SOCs非常有帮助 SCOT:Sandia Cyber Omni Tracker (SCOT)是一款专注于灵活性和易用性的时间手机和知识获取工具,其目标是在不加重用户负担的情况下提高事件过程价值。

    1.2K60

    系统之 Linux 主机检查

    由于在多次的检查中遇到检查时都是几十台服务器要做一个面检查的情况,果人工手写脚本的话,一方面效率较低另一方面需要检查者熟悉所需要检查的项。 在这种情况下,本人写了一个 Linux 检查的脚本,该脚本主要在以下场景使用: 1、Linux 主机检查时 2、 Linux 主机发生事件需要面分析时 该脚本完成有一段时间,最近在群里讨论 所以大家在使用过程中有任问题或议欢迎及时同步给我。 检查内容 整体框架 关于 Linux 检查,这里面我总结主要需要检查以下内容: 1、系统检查(进程、开放端口、连接、日志等) 这一块是目前个人该脚本所实现的功能 2、 Rootkit 议使用 这个后期个人会进行相关的尝试,可能的话会进行相内容的分享。 系统检查框架 ?

    1.1K30

    网络的回顾与展望

    网络的回顾与展望 一.什么是? 二.网络的启发 三.保障整体工作中的作用 四.事件处理的一般阶段 五.的展望 ? 在莫里斯蠕虫病毒数周之后,卡内基梅隆大学立了世界上第一个网络小组。 2001 CodeRed 红色代码——中国互联网预案以及体系 2001年的CodeRed红色代码事件促进了我国预案以及体系产生 红色代码 是2001年7月15日在互联网上观察到的一种电脑蠕虫 三.保障整体工作中的作用 问题:怎么样才算是“的”? 果你有100万两黄金,有两个人地方你可以去放,一个是在沙哈拉沙漠,一个是在人民广场的箱子里,你会选择放在哪里呢? (追究责任、改进) ---- 五.的展望 复杂性大幅上升:相互交织越来越深入和密切,单点效果有限 更加依赖于大数据:基于大数据立精准对能力,没有数据就没有 需要知识积累与用:知识与威胁情报是关键

    4K230

    实战 | 记一次小程序cms事件

    首发于奇信攻防社区 文章地址:https://forum.butian.net/share/911 1、事件发生 2021年11月16日,上级发来不良检测记录,内容包含为某站点存在涉DuBo违规内容 2、事件溯源 2.1 暂停服务 首先进入宝塔关闭Apache与MySQL服务,其他途径告知用户系统正在维护 2.2 保存现场环境 进入到宝塔的网站管理界面,点击被入侵站点,点击备份站点(数据库同理备份 那么回到vscode继续检索preview.php得到结果 结果还是比较多,在精确搜索一下,只显示有200回的 成功筛选出4条记录,分别是 其中第1与第2条IP地址均为浙江省金华市婺城区 只要知道路径,任人都可使用该php来上传文件。 2)存在上传文件后缀无限制 从图中可以看出,通过正则表达式,变量$base64是文件内容,变量$type是文件后缀,从红色框住的if语句里,完没有任的过滤, 故payload为data:image

    12230

    服务工程师在中,该关注哪些指标?

    网络的工作中自然逃不开这一茬,很多大型企业、政府、教育、医疗等单位不定期都会出现一些风险问题,这时候需要专业的服务工程师对系统网站进行事件分析及处置,对所发现的问题提供处理议 通常是指一个组织为了对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。 作为一名服务工程师、渗透工程师以及web相关人员是一项必备技能。 作为服务工程师除了懂,还该掌握哪些技能呢? :立即止损,根据事件类型选择对的遏制方法并制定恢复计划; 事后总结:从本次的事件中改进流程,并将新数据反馈到流程的准备阶段。 计算MTTA? MTTA = 检测与确认之间的总时间/事件数量 例组件在12:10检测并发送告警后,人员在12:15开始处理该事件。那么此时MTTA是5分钟。

    12740

    Redis&Minerd演练环境

    近期公司需要进行一次运维演练,需要部署一套演练环境。想到几个月前公司的一台服务器的redis未认证授权漏洞导致被人放了挖矿程序,于是决定部署redis&minerd相结合的演练环境。 但是当发现minerd进程运行消耗CPU时,可以将该进程kill掉,保证minerd进程被kill之后仍能继续启动执行呢?这里介绍两种方式,一种是通过定时任务的方式,一种是通过服务的方式。 接着在/etc/init.d/下一个sysservice同名的文件,因为sysservice作为服务启动、停止、重启都会调用这里的内容,文件内容下: ? 这样即使目标服务器重启也能启动sysservice,从而启动挖矿程序,这样一个掩藏较深的演练环境就搭好了。 所谓知己知彼,方能百战百胜,在搭演练环境的过程中,正式与攻击者的一种博弈,充分了解漏洞产生和利用的场景,在处理事件的过程中也能得心手。

    38430

    Redis;Minerd演练环境

    近期公司需要进行一次运维演练,需要部署一套演练环境。想到几个月前公司的一台服务器的redis未认证授权漏洞导致被人放了挖矿程序,于是决定部署redis&minerd相结合的演练环境。 但是当发现minerd进程运行消耗CPU时,可以将该进程kill掉,保证minerd进程被kill之后仍能继续启动执行呢?这里介绍两种方式,一种是通过定时任务的方式,一种是通过服务的方式。 接着在/etc/init.d/下一个sysservice同名的文件,因为sysservice作为服务启动、停止、重启都会调用这里的内容,文件内容下: ? 这样即使目标服务器重启也能启动sysservice,从而启动挖矿程序,这样一个掩藏较深的演练环境就搭好了。 所谓知己知彼,方能百战百胜,在搭演练环境的过程中,正式与攻击者的一种博弈,充分了解漏洞产生和利用的场景,在处理事件的过程中也能得心手。

    45160

    会议沙龙|XCon焦点:云原生自动化

    腾讯云鼎实验室一直致力于云技术研究,对生态的构和优化以及球信息的动向与发展有着自己独到的见解,此次也该非常荣幸地通过了Xcon的话题征集,受邀参与分享。 ? 2020年初,一场突其来的疫情让球的经济受到冲击,随之而来的是用户的数据量、远程办公的需求量、的事件量剧攀升,球的用户对于互联网的依赖程度正在以前所未有的速度持续增加。 8月20日9:30-10:30,腾讯云鼎实验室专家焦小博带你走进《云原生自动化》,结合云计算的特点和云领域多年的溯源实战经验,将云平台和事件的和取证相结合。 通过案例和数据了解公有云威胁和现状,呈现一个云原生背景下完自动化的入侵溯源方案,帮助人员在最短时间内定位入侵途径、溯源取证和输出策略,并通过实际运营为大家展示验证其效果。 云时代背景下,在攻击前做好预防措施?遭受攻击后快速有效的自动化溯源取证和风险收敛?技术的核心竞争力究竟是什么?让我们拭目以待。 更多精彩内容点击下方扫码关注哦~ ? ?

    33920

    浅谈企业级供链投毒能力

    本文将通过介绍供链投毒的流程,引入coa投毒的实例,并提取出常规企业设所需的能力。''' 然而最不同就是处置部分,简要流程图下: 本文仅针对供链投毒展开讨论,通过对NPM官方仓库coa的恶意投毒案例,并分析需要用到哪些能力。 (上图蓝色部分) 2.1 收集情报 快速获取供链投毒信息?比较常见的是通过爬虫或订阅方式,个人感觉比较及时和高效的则是高质量微信群、微信朋友圈,特别该关注能力对外输出的公司。 常见情报处置动作:流程图中所示,处置动作可以包括资产查询判断影范围、边界阻断、NTA拉黑名单告警规则、受影业务加固追踪、整改项验证等内容。 5 从结果反推企业设能力 【Q:要想做好供链投毒的,需要储备哪些能力?】 每一个的操作,都映射着一种能力。

    11710

    Web用程序 PDF

    电子商务商店,经常需要一些报表数据来分析当月的销售情况。 在本文中,将探讨从一个web用程序中直接生成一个PDF。这不是一个生成 PDF 库列表,这里主要的目的是展示不同生成 PDF 的方法。 为这些工具样式表与常规打印样式表非常相似,可能使用不同的字体大小或颜色来决定显示或隐藏什么。 但是,我无法找到关于支持的确切内容的任细节,以及是否有任分布媒体规范。 不使用HTML和CSS 还有许多其他的解决方案,它们不再使用HTML和CSS,而是要求你为工具特定的输出。 下面是对的工具: jsPDF pdfmake 推荐 除了基于javascript的方法(它要求打印内容不同的表示形式)之外,这些解决方案的优点在于它们是可互换的。 希望这是一个有用的工具总结,可用帮你的web用程序pdf。

    44630

    对Heartbleed漏洞

    OpenSSL已发布了紧更新程序,但是我们仍有必要采取额外的措施来确保你的个人数据。 谷歌和微软均认为,密码越长越。微软议,你的密码长度至少要达到8个字母。大多数网站对于密码设置也有最低字母数量要求,这样可以有效地防止你使用极易被人猜出的4个字母的密码。 2. 例果你想要在密码中使用“I love soccer”这句话,那么你可以将它改写为“1LuvSoCC3r!1”,这样可以让它变得更。 4. 同一个密码不要用于多个账户。 7.利用用程序和工具来造和管理密码。 有时候,即使遵照上面列出的小技巧,你也很难想出你能牢记的密码。幸运的是,我们有一些值得信赖的用程序和服务可以帮助你解决这个问题。 例,LastPass可以将你所有的重要密码保存在一个的地方,并进行统一管理。这款用程序会加密你的数据和密码列表,防止别人看到它们。

    43750

    腾讯面拦截

    该漏洞可被利用对恶意程序签名,从而骗过操作系统或软件的机制,使Windows终端面临被攻击的巨大风险,主要影Windows 10以及Windows Server 2016和2019,Win10 腾讯团队对该漏洞利用的POC进行深入分析后,确认该POC为CVE-2020-0601漏洞利用的一个典型伪造签名场景,即通过该POC可轻松伪造出正常公钥对的第二可用私钥,相当于黑客可以用自己的私钥欺骗微软系统 现有体系很大程度依赖证书签名,果通过漏洞伪造签名欺骗系统,成功绕过防御及查杀机制,攻击者便可为所欲为,造成严重后果。 鉴于该漏洞具有极高的利用价值,而且在很短时间内漏洞利用方法已被黑产所掌握,腾讯专家议广大企业网络管理员,可参考以下方法运行专杀工具清除危险程序。 qqpcmgr/download/cve_2020_0601_scan.exe 同时,腾讯议企业用户立即升级补丁尽快修复该漏洞,或使用T-Sec 终端管理系统(腾讯御点)统一检测修复所有终端系统存在的漏洞

    2.5K161

    记一次中遇到的利用SSH日志触发的后门分析

    *本文作者:ForrestX386,本文属 FreeBuf 原奖励计划,未经许可禁止转载。 前言 前段时间,在一次案例中遇到一个利用ssh 日志作为触发点的后门,觉得有意思,写下来,分享一下,欢迎各位大佬的拍砖与讨论。 案例分析 据客户反映,其最近发现ssh的登录日志中有很多失败的登录尝试,形: ? 上图,这些失败的登录用户名都很奇怪,都是以LEGO开头的后面加上一串随机字符。 至此基本弄清了可疑进程执行下命令: ? 笔者这次分享在大佬们眼中可能略显简单,不过对我来说,确学到了不少东西,也希望更多的人分享自己的经历,希望大佬们分享更牛逼的经历 *本文作者:ForrestX386,本文属 FreeBuf 原奖励计划

    49630

    对云用带来的问题?

    云计算时代,IT专家承担着管理的重担,因为他们面临的是日益复杂的基于云的威胁。 专家需要的是深入理解云,其目的是理解最新的威胁,并找到强化防御的方法。 此文并不是谈云能实现的利益,虽然这些好处包括球威胁情报和历史数据的无限存储功能、用于分析的强大处理功能,以及在企业的最前沿阵地部署技术的能力。 你还要考虑攻击者日益依赖SaaS(软件即服务)用和影子IT(Shadow IT)的出现,以及由此导致的影子数据(Shadow Data)窃取珍贵的数字资产。 为确保理解并且解决云用给企业带来的重大挑战,企业需要额外的洞察力和有关背景知识。为此,不妨问一下下几个问题: 1.知道雇员们在使用哪些云用?其风险? 只有通过深入理解云,企业才能完理解每个用的风险和控制用户共享和访问数据,并迎战零日恶意软件。

    42040

    【解决方案】城市措施亟待完善,管理局视频监控

    为进一步面提升救援能力,强化科技在生产工作中的先导支撑作用,推进生产信息化水平走上新台阶,亟待整合生产信息资源,加强各部门之间协同工作,逐步形成上行与国家部、省管理厅、市管理局的指挥平台 ,平行与市各行政区局及有关职能部门的指挥平台,下行与各有关企业生产监督平台互联互通,接口开放,协同工作的生产综合监管与指挥信息平台体系。 在遇到突发事件或信息高峰期需同步处理时,领导无法实时查看事故现场并进行调度,影管理工作,无法快速指导各部门对各类生产、自然灾害等突发事件工作。 三、方案部署 以管理综合用平台为基础,信息化为支撑,打通网络孤岛,实现相关单位视频联网,统一管理,综合市包括公、林业、气象、交通、海事、危化品企业、重大基础设施等视频资源,立一套指挥视频联网系统 国标视频监控系统对接上图所示。通过视频联网网关纵向实现管理部、省、市、县监控平台级联,横向实现与各转隶机构、相关行业的视频监控平台级联。

    12610

    Evasor - 自动化查找可执行文件的评估工具 (蓝队神器)

    Evasor、傻瓜、爽就完事了 Evasor是一种自动化的评估工具,可在Windows操作系统上找到可用于绕过任用程序控制规则的现有可执行文件。 它非常易于使用,快速,节省时间并且完自动化,可以为您生成报告,包括描述,屏幕截图和缓解议。 下载Evasor项目并进行编译。 检查MavInject执行的退出代码,果进程正常退出,则意味着该进程易受DLL注入的攻击,可用于绕过用程序控制。 查找容易受到DLL劫持的进程! 检索所有正在运行的进程 对于每个正在运行的进程: 检索已加载的过程模块 通过带有已加载模块(DLL)名称的空文件或覆盖工作进程目录中的存在模块文件,检查是否存在将数据写入工作进程目录的权限。 尝试将文件替换到另一个位置,以验证该文件是否可替换,并且最终很容易受到资源劫持的影

    24120

    扫码关注云+社区

    领取腾讯云代金券