首页
学习
活动
专区
圈层
工具
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

手工打造基于ATT&CK矩阵的EDR系统

EDR, 终端检测响应系统,也称为终端威胁检测响应系统 (ETDR),是一种集成的终端安全解决方案,它将实时连续监控和终端数据采集与基于规则的自动响应和分析功能结合在一起,是一种用于检测和调查主机和终端上的可疑活动的新兴安全系统...EDR系统的主要功能是: 1. 监视和收集可能存在威胁的终端的活动数据 2. 分析采集到的数据,通过威胁模型进行关联识别 3....作为取证和分析的工具,以研究锁定的威胁和搜索可疑活动 在未有系统地部署EDR产品的企业中将很明显地缺乏针对未知病毒的监控手段以及事件回溯的能力和工具,仅依靠单一的杀毒软件能够回馈到的信息是极为有限的,甚至乎根本就无能为力...那么,我们是不是有可能将SPLUNK+SYSMON+ATT&CK关联起来,实现更为有效的,更为简单的IOC的编写和侦测呢? 确实,这是可行的。...针对主要的几个界面,我简单的做下介绍: 这个页面将主要做数据追踪使用,将计算机,用户,文件创建,网络连接,管道,父子进程等做了非常详细的一个聚合,可以很轻易的将你关心的数据信息呈现出来。

1.9K20
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    手工搭建简易的Linux恶意脚本分析系统

    概述 Linux环境下的恶意软件大部分以shell脚本作为母体文件进行传播,而且,同一个病毒家族所使用的的恶意脚本往往具有极高相似性,新变种的脚本大部分是在旧变种脚本的基础上进行修改,新增或替换部分关键恶意代码...该如何揭示病毒家族中恶意脚本之间的关系呢?接下来,我们就通过手工搭建一个简易的恶意脚本分析系统,来实现对恶意脚本之间关系的研究。...系统功能 系统的功能如下,主要为3个: 使用yara检测脚本对应的病毒家族。 计算脚本与样本库中每个样本的相似度。 提取脚本新增/改动的恶意代码。...系统运行效果如下,测试的脚本为7月份新发现的H2Miner新变种,该变种与1月份变种ex.sh的相似度为97%,与5月份变种sa.sh的相似度为93%。...总结 Linux恶意脚本大部分没有进行混淆,使用开源库difflib进行文本比较是个简单高效的方法,通过该系统,可以快速的分析新型恶意脚本的更新部分,以及与其他病毒家族脚本的关系。 ?

    1.2K20

    开源应用中心|这款纯手工打造的开源博客平台,大佬们都在用!

    此博客程序前后台页面以及逻辑代码的都由纯手工打造,没有版权限制,可以随意折腾。...2. bjyblog的特点 功能完善且简洁,能快速使用 完全开源,MIT协议,可二次开发 外观大气简洁,很适合技术人员使用 3....下图的账号和密码就是你的管理员账号和密码 4....经验小结 1)bjyblog拥有博客的基本功能,也有自己的一些特色,比如第三方登录、社会化分享等功能。具体的使用方法可以参照官方文档。...SMB团队成员大多都有过创业经历,有获得过知名VC数千万投资的,有被一线互联网巨头以数千万全资收购的,也有开设数十家分公司后技术转型而失败倒闭的,我们成功过,也失败过,我们深知创办企业的难处与痛点,深刻的理解中小企业该如何敏捷起步

    49820

    来了,松哥纯手工打造的超 50 页 Spring 教程开放下载了

    是的,你没看错,在 Maven 教程刚刚发布不到一周,松哥又给大家带来了新的干货,超 50 页 Spring 入门教程正式上线了。...这是一个入门级的 Spring 教程,松哥主要从以下四个方面简单介绍了 Spring,方便刚入行的小伙伴快速上手这个 JavaEE 基础框架: Ioc Aop JdbcTemplate 事务 老实说,入门够用了...,但还不是很深入,松哥未来还会继续完善这个教程,也请大家留意松哥网站的更新。...注意 “由于这个教程里涉及到的代码 Demo 比较多,我看了一下生成的 pdf,代码的排版不是很好看,换行有一点点乱,不方便阅读,因此建议大家通过在线版学习,也就是松哥上面给出来的那个网站。...” 现在,松哥自己的站点,已经做好的有: http://www.javaboy.org http://springboot.javaboy.org http://maven.javaboy.org http

    75810

    基于OpenCV+ZXing手工打造,FPS300+的二维码识别库

    软件版本信息 Windows10系统 OpenCV4.5.1 VS2017 OpenCV官方支持函数 OpenCV在4.5.1中支持的了微信开源的二维码识别,通过检测模型与超像素模型分别实现了检测与预处理...我看到这个以后的第一感觉就是我有一个更加环保+快速的方案。...他山之石可以攻玉 在我之前传统的二维码检测基础上,重新整理并优化了流程,使用二值分析方法实现二维码检测定位,然后基于ZXing解码实现了二维码的检测与识别。...代码就不放出来了,好久以前在OpenCV还没有二维码检测函数的时候,我写过一篇文章,教大家如何基于OpenCV手工写代码实现高精准的二维码检测。...可以说速度完全吊打OpenCV官方提供三行代码!

    3K20

    Cygwin,打造你的Windows下Linux环境

    Cygwin,打造你的Windows下Linux环境 什么是Cygwin 下面我看来看一段百度对Cygwin的说明: Cygwin是一个在windows平台上运行的类UNIX模拟环境, 是cygnus...它对于学习UNIX/Linux操作环境,或者从UNIX到Windows的应用程序移植, 或者进行某些特殊的开发工作,尤其是使用GNU工具集在Windows上进行嵌入式系统开发, 非常有用。...Cygwin 提供一个UNIX 模拟 DLL 以及在其上层构建的多种可以在 Linux 系统中找到的软件包,在 Windows XP SP3 以上的版本提供良好的支持。...注:对于不想安装linux或是不会安装linux的你,可以尝试在Windows下安装Cygwin来使用linux下的命令,为后续在linux工作打下基础。...注: 你也可以在cmd命令行下直接使用linux的命令了。 随便使用几个命令试试效果, 如图: ?

    2.1K90

    用Python自定义打造的时间盲注脚本

    推荐一个自带很多web的入门练习虚拟机--webug,网上有资源,如果嫌大可以找Johnson。 最近johnson在测试webug上的一个时间盲注的时候,就想着自己写一个脚本。...访问页面是这样的: 提示说传一个type的参数进行 参数变了,页面也会跟着变化,既然是时间注入,就自己手动测试一下。...type=1 and if(substr(database(),1,1)='p',sleep(3),1)的时候,页面会暂停3秒,所以数据库的第一个字母是p,为了锻炼自己,手动写了一个简单的,冗余非常大的脚本...tables.append(table) returntables #输出名字 defprintName(result): foriinrange(,len(result)): printresult[i] #获取指定表的列的数量...: 代码写的比较随意,只是希望多交流学习

    1.3K90

    使用Next.js搭配tailwindcss纯手工打造一个网站是什么样的体验

    这次趁着节前休假有时间,花了几天的时间对网站进行了彻底的重写与改版,实现了这个目标。 一) 微言码道的官网是我在2021年初花了约三天时间完成的。当时的版本是基于gatsby以及MUI构建而成。...由于是基于Jamstack理念而构建的这个网站,网站是从零开始构建的,包括UI。并没有使用一些博客类的网站生成工具,比如著名的hexo以及hugo等。...2022年想要彻底重写这个版本的网站的原因在于两个方面,其一是重新设计并实现一套全新的令自己满意的UI,再就是在前端尝试与使用一些感兴趣的新技术。...特色适合那些使用React的非专业前端,做一些非企业级的网站,比如像我的微言码道这样的网站。...相比较hexo或hugo这样的博客生成工具来说,基于Next.js以及tailwindcss打造一个网站,更像是亲手打造一个艺术品,虽然都需要自己来实现很多功能,但它能让你精雕细琢。

    3.3K10

    VMware打造自己的Linux容器操作系统

    VMware打造自己的Linux容器操作系统 20日,VMware启动了一个名为 Photon的项目,一个专门为容器量身打造的Linux操作系统,与其他Linux操作系统不同的是Photon专门支持VMware...VMware启动了两个关于Linux容器的开源项目旨在展现供应商试图让 Docker和其他容器臣服于vSphere和ESXi的不懈努力。...当然这也体现出VMware对容器的重视,甚至不惜成立相关项目确保容器的环境能够兼容自己的产品。...VXLAN助力Broadcom的Trident II Broadcom推出以太网交换机芯片Trident II的新版本,新版本最大的特色就是提高了VXLAN和其他隧道协议的性能。...StrataXGS Trident-II+作为Trident II的替代品试图将Broadcom的以太网交换机推向新的领域,Broadcom最近推出的StrataDNX专注于运营商和云计算核心网络,而即将推出的

    99560

    Hive在Linux下完全分布式环境的搭建

    一.首先安装mysql,安装步骤如下: 1.检查Linux系统是否已经安装了mysql,使用如下命令检查: rpm -qa | grep mysql 2.如果出现如下截图内容,则认为安装了mysql(CentOS6.5...3.如果出现上图所示内容,使用如下命令将Linux系统自带的mysql卸载掉: rpm -e --nodeps mysql-libs-5.1.71-1.el6.x86_64 4.准备要安装的mysql...减压命令 chmod u+x ./*              是在当前减压的文件夹下附权限的命令 5.运行如下命令开始安装mysql的server端: rpm -ivh MySQL-server...删除前的结果图 ?...包拷贝到hive的lib下面(mysql的jar和mysql的安装包在一起,减压mysql-connector-java-5.1.27.tar.gz就可以得到,后面会有下载地址) 4.配置hive的环境变量

    1.6K30

    从源码打造云原生时代的「Linux」——Kubernetes

    从源码级别定制自己的Linux可能有点难,那要不要换定制「云原生时代的Linux系统」——Kubernetes?这篇文章给大家演示如何从源码编译出属于你自己的Kubernetes。...+ git,git工具一般主流Linux系统都是自带的,无需安装。...自定义kubectl代码后重新编译 既然已经掌握了单独编译某个组件的方法,不妨试试自定义改造一下,下面演示了改造kubectl源码,进行编译后,验证改造效果 > cd /root/gop/src/k8s.io...前者是只构建对应当前所在系统的目标文件,意思我是在Linux上编译的,只构建出能在Linux平台上运行的目标文件,并省略执行相关单元测试。...后者就是构建出3大平台的目标文件,包括macOS、Linux和Windows,并执行单元测试。

    1.5K30

    又一位纯手工打造CPU的牛人,并汇编实现类Unix系统,支持文件系统

    1、纯手工打造CPU的那些牛人们,欣赏令人叹为观止的纯手工布线和高超技 http://www.armbbs.cn/forum.php?...第一个CPU有很多有趣的工作要做:具有65536字节的内存,改进的算法和设计上更高的速度,该CPU是有史以来最复杂的面包板CPU。 ? 最早效果: ?...类Unix系统设计 GR8NIX是受Unix启发的操作系统,Unix是1970年代发布的简单多用户,多任务的操作系统。...基于unix的思想的现代操作系统包括Linux, MacOS和Android等。...这是有效的吗?接下来,Exec通过检查每个节条目并将其偏移量添加到其长度中来查找可执行文件的长度。Exec找到的长度是这些计算出的最大长度。

    80720

    一个号称完全无法检测到的Linux后门

    确实,Ngrok挖矿僵尸网络在过去两年中一直都非常活跃,但不同的是,新活动主要针对配置错误的Docker服务器,并利用它们在受害者的基础架构上运行带有加密矿工的恶意容器。...这种新的多线程恶意软件被称为“Doki”。 Doki,被称为是一个完全无法检测到的Linux后门,主要利用一种无记录的方法,通过狗狗币(一种加密货币)区块链来联系其运营商,从而动态生成其C2域地址。...除此之外,攻击者还设法将新创建的容器与服务器的根目录绑定,从而使主机访问或修改系统上的任何文件,造成破坏。...通过使用绑定配置,攻击者还可以控制主机的cron工具,从而修改主机的cron以每分钟执行下载的有效负载。 容器逃逸技术使得攻击者能够完全控制受害人的基础架构,因此Doki的威胁程度可见一斑。...参考来源 https://thehackernews.com/2020/07/docker-linux-malware.html

    91120

    波士顿咨询:如何打造一家完全基于区块链的保险公司

    这就是有些保险公司希望应用区块链技术可以改变的,区块链可以用于安全地创建和完全共享数字记录。区块链有潜力让其他数字技术,比如先进的分析技术,人工智能和自动化软件更高效。...由于区块链是一种较新的技术,而且保险行业对区块链技术也不是非常了解,所以有必要深入了解区块链技术的长期潜力。 让保险效率更高。“一家完全基于区块链的保险公司”看起来会是什么样的?...这样的保险公司会在区块链(或几个区块链)上保存所有合同相关的交易数据。如果一家完全基于区块链的保险公司收到索赔申请,要求交换信息或进行结算,交易就可能会自动执行。...相比之下,如果这样的理赔申请是提交给没有应用区块链技术的保险公司—也就是今天很多保险公司—所有的合同都在保险公司自己的系统内,而且和外部机构共享信息也可能会涉及到很多手工流程和文书工作。...我们预计完全基于区块链的航运险保险公司可以在风险管理和运营方面降低成本。风险管理可以得到改善,比如如果投保的货运公司的卫星跟踪系统同保险合同在同一个区块链上。

    2.6K40

    Linux|WSL打造Windows下更顺畅的双系统

    所以借助Win10的WSL功能,可以打造一个轻快便捷的Linux环境,对于日常工作带来了更多的方便。 那么如何使用呢? 1....安装一个Linux系统 接下来就是要安装一个Linux系统,打开微软商店,然后搜索Linux就会看到诸多Linux版本,比如注重安全的Kali,日常熟悉的Debian、Ubuntu、Suse等等。...选择自己想使用的系统安装即可,比如我选择了Ubuntu。 3. 初始化Linux配置 安装完成后,通过开始菜单栏打开运行Linux系统(当然也可以直接搜索Linux的名字打开)。...一是搜索bash打开: 二是通过Win10的命令行模式,打开cmd之后运行bash命令,就可以进入Linux系统: 三是通过开始菜单栏打开安装的Linux系统或搜索Linux系统名,比如我使用的Ubuntu...开机自启动WSL的ssh服务 在使用的过程中发现一个问题,就是每次Windows系统重启后,都需要打开Linux系统,然后开启ssh服务后才能再次远程登录,完全没有了什么便利性。

    3.7K10
    领券