- 博客(22)
- 收藏
- 关注
RSS订阅原创 WindowsServer2022挖矿事件
wininit.exe(PID452)启动services.exe(PID536),后者启动nssm.exe(PID680),最终由nssm.exe启动挖矿程序xmrigs.exe(初始PID1172,运行实例PID5508)。使用命令msinfo32进入系统信息,在软件环境->启动程序中,看到可疑启动程序:systems,会执行脚本:C:\Users\Administrator\AppData\systems.bat。在xmrig.exe文件所在的目录里,打开config.json就看到了。
2025-11-12 20:31:36
154
原创 应急响应基础
声明:本文知识来源于《网络安全应急响应技术实战指南》,内容由个人学习整理,代表本人片面理解,如有错误,请各位读者指出。本文仅用于技术学习,不用于任何非法或商业行为。若有侵权,请联系本人删除。webshell查杀:可以通过使用D盾、HwsKill、 WebshellKill 等工具对目录下的文件进行规则查询,以检测相关的Webshell。日志分析Windows日志包括系统日志、安全性日志、应用程序日志3类日志内存分析是网络安全应急响应中补充系统表层排查的关键环节,可挖掘隐藏进程、内存注入代码、恶意
2025-11-11 12:35:13
824
原创 网络空间引擎
通过主动扫描与被动采集相结合的技术,对全球暴露在互联网上的服务器、设备、网站等资产进行实时测绘,构建 “网络空间资产地图”,帮助用户快速定位资产、评估风险并优化安全策略。华顺信安推出的资产搜索引擎,支持通过关键词、IP、端口等检索全球资产,拥有超过 100 亿资产数据,可识别 1300 + 协议。网络设备模拟工具,支持 Cisco、华为等厂商设备,可搭建复杂网络拓扑(如企业内网 + DMZ 区),常用于网络工程师认证培训。
2025-10-28 17:58:06
895
原创 fenjing工具使用
为了避免破坏系统自带的 Python 环境,Kali 默认不允许直接用 pip 全局安装 / 升级包。推荐解决方法(最安全,用 “虚拟环境” 隔离):创建虚拟环境:打开终端,执行 python3 -m venv 我的环境名(比如 python3 -m venv fenjing_env,“环境名” 可自定义)。激活虚拟环境:执行 source 我的环境名/bin/activate(比如 source fenjing_env/bin/activate)。
2025-10-25 00:35:46
1251
原创 Linux应急响应常规安全检查指南
查登录痕迹w→last -awF→,看有没有异常IP和账户;查账户权限→→,删陌生账户和公钥;查计划任务与启动项→→,删恶意任务和服务;查进程与内核ps -aux→python 查隐藏进程脚本→lsmod,杀恶意进程、卸恶意模块;查文件完整性rpm -Va(CentOS)/(Ubuntu)→,恢复篡改文件、删恶意后门;查隐蔽后门→→,堵动态链接库、PAM、Python后门;验证清理效果:重启系统→重新检查上述所有点→测试登录和服务(如SSH、Web)是否正常。
2025-10-05 10:05:37
1450
原创 crontab命令详解
crontab是Linux应急响应中检测定时任务和清除恶意任务的关键工具。攻击者可能利用它实现持久化访问或隐蔽执行恶意代码,因此需要定期检查等目录。通过crontab -l和grep过滤可疑任务,结合日志分析,可以快速发现潜在威胁。在应急响应中,crontab的关键作用是识别和清除恶意定时任务,建议在系统中禁用不必要的定时任务,或严格限制其权限,以减少攻击面。
2025-09-30 15:53:09
1315
原创 ss命令详解
用途命令示例查看所有TCP连接ss -t查看所有UDP连接ss -u查看监听端口ss -l查看进程关联ss -t -p查看连接状态查看源IP查看目标IP查看源端口查看目标端口查看统计信息ss -s实时监控过滤异常连接`ss -t -a。
2025-09-30 15:52:21
1596
原创 grep命令详解
在Linux应急响应中,grep快速定位关键信息:通过正则表达式和模式匹配分析日志和文件。自动化分析:结合脚本和工具(如awksed)提高效率。实时监控:动态追踪攻击行为或系统异常,及时响应。深入排查:通过复杂正则和多工具结合,发现潜在威胁。关键技巧掌握正则表达式语法(如匹配IP、时间戳、进程名)。熟悉日志文件的结构(如auth.logsecuresyslog配合findawksed等工具进行多步骤分析。注意权限和日志完整性,避免误报和误删。学习建议。
2025-09-28 22:13:09
1035
原创 find命令详解
find命令在Linux应急响应中是检测和清除恶意文件的核心工具。攻击者可能通过篡改文件权限、时间戳或内容,隐藏代码或执行后门。通过find结合其他工具(如lsofstatgrep),可以快速定位异常文件。建议在应急响应中定期检查/tmp/dev/shm等目录,确保没有异常文件存在。同时,注意权限和时间戳的异常,防止文件被篡改。
2025-09-28 11:00:55
852
原创 ps命令详解
声明:本人所有文章均为技术分享,均用于防御为目的的记录,所有操作均在实验环境下进行,请勿用于其他用途,否则后果自负!)和日志分析,形成系统化的排查流程,同时注意区分合法与非法行为,避免误操作导致系统风险。在网络安全应急响应中,进程排查是发现潜在威胁、定位攻击行为的关键环节。通过以上补充,可以更全面地覆盖应急响应中进程排查的各个环节。本人才学疏浅,有误之处请大方指出,愿意接受各位批评。
2025-09-28 00:59:20
1065
原创 lsof命令详解
本人才学疏浅,有误之处请大方指出,愿意接受各位批评。声明:本人所有文章均为技术分享,均用于防御为目的的记录,所有操作均在实验环境下进行,请勿用于其他用途,否则后果自负!!!在Linux应急响应中,lsof(List Open Files)是一个非常强大的工具,用于查看系统中。它能够帮助你快速发现潜在的恶意活动、异常进程、隐藏文件或未授权的网络连接。以下是关于lsof在应急响应中的,涵盖基础知识、常用命令、应用场景、案例分析和注意事项,帮助你快速掌握其核心能力。
2025-09-25 23:04:55
805
原创 挖矿病毒处理
学习Linux系统中挖矿病毒的应急响应需要系统性的知识和实践。声明:本人所有文章均为技术分享,均用于防御为目的的记录,所有操作均在实验环境下进行,请勿用于其他用途,否则后果自负!通过反复练习真实案例(如Kali Linux中的挖矿病毒模拟),可以快速提升实战能力。如果需要更具体的某个工具或病毒的处理流程,可以进一步提问!本人才学疏浅,有误之处请大方指出,愿意接受各位批评。
2025-09-25 23:03:45
1398
原创 后门远控排查
后门:攻击者通过隐蔽手段绕过系统安全机制,获得对目标系统的未授权访问。远程控制:通过后门实现远程指令执行、数据窃取、横向移动等恶意行为。常见场景:服务器被入侵后,攻击者植入后门以便长期控制。阶段重点工具/方法检测查找异常进程、连接、文件psnetstatfindgreprkhunter分析确定攻击者IP、攻击路径lastauditdstracetcpdump清除删除后门文件、终止进程killrmuserdeliptables加固防止再次入侵fail2banSELinuxauditdchattr。
2025-09-25 23:00:26
942
原创 stat命令详解
灵活提取信息:通过格式化输出,可以快速提取关键字段(如mtimesizeinode)用于分析。场景stat用途关键字段文件篡改检测检查mtimeatimectime%y%Z%X权限变更分析检查权限位和所有者%a%U隐藏文件检测检查权限和扩展属性%alsattr文件系统分析检查文件系统类型和挂载点-f选项完整性验证对比文件大小和时间戳%s%y。
2025-09-25 22:54:51
983
原创 暴力破解审查
通过以上结构化学习,你可以系统掌握Linux系统中应对暴力破解攻击的应急响应流程。建议结合实际环境进行测试,并定期更新防御策略以应对新型攻击手段。声明:本人所有文章均为技术分享,均用于防御为目的的记录,所有操作均在实验环境下进行,请勿用于其他用途,否则后果自负!(如尝试大量用户名和密码组合)突破系统认证机制的行为,常见于SSH、Web服务、数据库等。本人才学疏浅,有误之处请大方指出,愿意接受各位批评。以下是针对Linux系统中。暴力破解攻击是攻击者通过。
2025-09-25 22:54:08
920
原创 SQL深度剖析
本人才学疏浅,有误之处请大方指出,愿意接受各位批评。声明:本人所有文章均为技术分享,均用于防御为目的的记录,所有操作均在实验环境下进行,请勿用于其他用途,否则后果自负!!!
2025-09-15 14:30:49
646
原创 反弹shell
本文章介绍了内网、NAT技术,主要围绕反弹shell的原理,常见的利用方式、反弹shell的流程、反弹免杀、防御来构建。本人才学疏浅,有误之处请大方指出,愿意接受各位批评。声明:本人所有文章均为技术分享,均用于防御为目的的记录,所有操作均在实验环境下进行,请勿用于其他用途,否则后果自负!!!
2025-08-18 11:16:21
1112
原创 Windows基础
本文介绍了Windows基础知识。涵盖管理员、标准用户等常见账户及权限,Administrators、Domain Admins 等渗透测试常见用户组及作用,还有查看用户和组的方式。讲解了访问控制相关概念,如 ACL、DACL、SACL 等,以及操作方式;安全标识符(SID)的定义、组成和查看命令。描述了身份验证流程,详解访问令牌的生成、组成、类型等及工作流程,还介绍了权限分配机制、Windows 哈希、UAC、Windows 服务和注册表等内容。
2025-08-14 20:08:32
751
原创 Windows信息收集
本文聚焦渗透测试场景,围绕 Windows 系统信息收集展开,介绍了从服务、防护软件、权限策略等维度,利用 `sc`、`powershell`、`tasklist`、`wmic` 等命令,查看 Defender 服务状态、隔离文件,检测常见防护软件进程,还提及通过 `secedit`、`gpresult` 挖掘策略配置缺陷,助力渗透中权限提升与防护绕过。本人菜狗,技术、精力有限,有误请指出声明:本人所有文章均为技术分享,均用于防御为目的的记录,所有操作均在实验环境下进行,请勿用于其他用途,否则后果自负。
2025-08-14 18:50:08
1128
原创 渗透测试信息收集
其核心目标是全面梳理目标的资产范围、技术细节、潜在弱点,为漏洞探测和攻击提供精准 “地图”。配置浏览器代理,访问目标网站,通过 “Site map” 获取目录结构;使用 “Intruder” 爆破参数值。拖拽 “Domain” 实体到画布,输入目标域名,右键运行 “Transforms” 生成关联图谱。,搜索企业名→获取 ASN(如 AS15169)→查看该 ASN 包含的 IP 段。打开工具,输入 IP 和端口范围,点击 “Scan” 查看结果。(每秒 10 万包,扫描整个 10 段 IP 的所有端口)
2025-08-12 10:18:44
776
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人