- 博客(12)
- 收藏
- 关注
RSS订阅原创 分析环境变量找恶意进程的客户端和父进程
环境变量是几乎所有系统都有的特性,Linux,Windows都用,环境变量在创建进程时会继承,父进程通常也可以给子进程赋予其他变量。以下是通过环境变量,在应急响应取证分析时的一些用处。
2025-01-27 22:45:02
182
原创 如何用yara快速扫描所有进程内存发现威胁
yarchk是为了更方便、更快速的使用yara规则来检查系统所有的进程内存是否有恶意代码,解决yara工具本身只支持一次执行只扫描一个进程内存的不便。
2025-01-22 16:58:29
481
原创 [分享开源]SooRDP-好用的Windows远程桌面RDP隧道工具
我将分享如何开发插件实现Socks Over RDP,SooRDP这个插件可以为Windows的远程桌面客户端增加类似SSH的-D或-L参数的功能
2025-01-22 16:07:05
1291
原创 [分享开源]disk2vmdk将开机的硬盘克隆为vmdk虚拟磁盘的开源小工具
分享我通过逆向分析 Disk2VHD 的工作机制和相关代码,最终自己完成开发将开机的硬盘克隆转存为虚拟磁盘的工具。
2025-01-22 11:32:20
1210
原创 开源检测rootkit技巧Windows篇--发现隐藏文件、进程和端口
这篇文章的思路全是基于ring3实现的,虽然说,在有rootkit的系统上,应用层看到的数据都是不可信的,然而对抗都是有成本的,更何况乱拳还能打死老师傅呢,再怎么高级背景的rootkit,也会挡不住一些爆搜探测的方法。
2025-01-22 10:52:48
1290
原创 开源检测rootkit工具Linux篇--发现隐藏文件、进程和端口
这篇文章的思路全是基于应用层实现的,虽然说,在有rootkit的系统上,应用层看到的数据都是不可信的,然而对抗都是有成本的,再怎么高级背景的rootkit,也会挡不住一些爆搜探测的方法。因此我认为这里一些检测思路还是很有意义的。
2025-01-21 21:57:22
811
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人