【应急基础】————11、文件安全确定

最新推荐文章于 2024-11-13 18:23:12 发布
最新推荐文章于 2024-11-13 18:23:12 发布
阅读量362 收藏
点赞数
分类专栏: 【应急响应】 # 应急基础
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Fly_hps/article/details/88031440
版权

 

情形

在应急中遇到服务器不能拖入工具进行分析的情况下,又想确认文件是否安全,这就需要提取进程对应的PE文件hash然后去威胁情报平台进行确认。
Ps:不能拖入工具的原因有很多,可能是服务器拖入数据拖出数据需要流程审批,可能是服务器已经被感染,可能是客户不允许这种操作,因此可以先了解一下现象后直接看看可疑进程、服务、启动项对应的一些程序文件。

Windows中有很多办法来计算文件hash,有Powershell会比较方便,但是例如在xp上就不一定那么好办了。

所以介绍一下 certutil 这个命令,它基本上支持Windows XP+ 操作系统,关于它的一些功能慢慢总结,它非常强大,还支持一些编码解码功能。

certutil -hashfile yourfile.exe MD5

certutil -hashfile yourfilename.exe SHA1

certutil -hashfile yourfilename.bin SHA256

提取出来的hash可到下面的平台查询:

 

VirusTotal

微步在线-中国威胁情报领军企业

360威胁情报中心

 

 

【网络安全】如何验证下载文件
锦瑟年华,逐梦之人
06-26 1944
阅读目录介绍先决条件文件验证如何工作 验证下载文件可确保您下载的内容是您的想法。在本教程中,您将了解到什么是文件验证,为什么它很重要,以及如何使用命令行工具在各种操作系统上进行验证。 介绍 您可能已经下载了一些开源软件,例如Linux发行版ISO,并且在下载链接旁边有一个用于下载文件校验和的链接。 你有没有想过那个校验和链接是干什么的? 该校验和用于验证刚刚下载文件的完整性。 2016年2月20日,受欢迎的Linux发行版Linux Mint网站遭到黑客入侵 ,用于安装发行版的ISO受到了损害。 在发现
应急响应——溯源
zybaiiiiii的博客
03-13 554
localhost.Y-M-D.log: 程序异常没有被捕获的时候抛出的地方,Tomcat下内部代码丢出的日志(jsp页面内部错误的异常,org.apache.jasper.runtime.HttpJspBase.service类丢出的,日志信息就在该文件!catalina.Y-M-D.log: 是tomcat自己运行的一些日志,这些日志还会输出到catalina.out,但是应用向console输出的日志不会输出到catalina.{yyyy-MM-dd}.log。
应急响应——靶场实践
热门推荐
weixin_46601374的博客
04-21 1万+
唉,我可算直到值守每天12小时看警报是多么怨种的一工作,本以为该结束了,结果又加了一天!!!! 还好我没放弃自己,一直在自学东西(也不是我愿意的,这也不是没有办法嘛,大家都太卷了) 那就自学了学应急响应。不得不说,大佬们是真好呀,我才在日报里说我刚过完应急响应的知识,梳理出流程,就有大佬给我发来了——三个靶场,够我挺过这难熬的两天了。 嘿嘿不能辜负大佬的期望,咱就好好表现吧 目录 先搭个靶场 应急响应的过程 排查网络连接 排查历史命令 排查后门账户 查看特权账户 ...
网络安全——应急响应之Linux入侵排查
CoffeMilk的博客
11-13 1082
本文主要介绍关于Linux系统被入侵后的应急响应工作流程和排查内容
应急响应——勒索病毒风险处置
admin的博客
05-17 294
勒索病毒文件一旦被用户点击打开,会利用连接至黑客的C&C服务器,进而上传本机信息并下载加密公钥。然后,将加密公钥写入到注册表中,遍历本地所有磁盘中的Office文档、图片等文件,对这些文件进行格式篡改和加密。其中,通过漏洞发起的攻击占攻击总数的绝大部分,因为老旧系统(如win7、xp等)存在大量无法及时修复的漏洞,容易被病毒利用。这种病毒主要以邮件、程序木马、网页挂马的形式进行传播,并利用各种加密算法对文件进行加密,使得被感染者一般无法解密,必须拿到解密的私钥才有可能破解。
Linux应急响应——知攻善防应急靶场-Linux(1)
本散修的一些学习心得与笔记,道友请自便。
06-23 1603
Linux应急响应靶机 1 前景需要: 小王急匆匆地找到小张,小王说"李哥,我dev服务器被黑了",快救救我!! 挑战内容: 黑客的IP地址 遗留下的三个flag
应急响应——Windows入侵排查
negnegil的博客
09-03 2408
Windows安全应急处置 从以下方面进行排查windows主机 1.是否有异常进程、用户 2.异常的服务、计划任务、启动项 3.注册表信息 4.端口开放情况 5.文件文件共享 6.防火墙设置 7.异常会话 8.日志 9.其他 10.工具 进程 获取系统上正在运行的所有进程列表, 可以根据以下内容查找可疑进程 CUP、内存占用率长时间过高的进程 没有签名或描述信息的进程 非法路径的进程 进程的属主 也可以使用某些软件,如D盾_web查杀工具,微软的Process Explorer工具等进行排查 #
网络安全——应急响应之入侵排查
W981113的博客
02-14 7443
一、windows入侵排查 1.入侵排查思路 1.1 检查系统账号安全 1.查看服务器是否有弱口令、远程管理端口是否对公网开放 (根据实际情况咨询相关服务器管理员) 2.检查服务器是否存在可疑账号、新增账号 (打开cmd窗口,输入lusrmgr.msc命令,查看是否有可疑或者新增的账号,若存在管理员Administrators群组内新增的账户,请立即禁用或者删除) 3.查看服务器注册表是否存在隐藏账号、克隆账号 (打开注册表–regedit.exe或者regedit,查看管理员对应键值) (使用D盾查杀
应急基础】————6、命令大全
Fly_鹏程万里
02-22 1692
一、基础知识 1、ls怎么按照时间排序列出当前目录文件? ls   -lt     时间最近的在前面(降序) ls   -ltr    时间从前到后(升序) 2、stat命令是干啥的?       显示文件详细信息,访问时间、内容修改时间、状态修改时间 3、lsof的作用是什么?      查看进程打开的文件,打开文件的进程,进程打开的端口(TCP\UDP)      详细内容可参考...
信息安全——应急响应
JJH2724719395的博客
10-08 222
发现两条不正常的日志,UA为python-requests,说明是python脚本,紧跟着就是一个webshell,执行了id和whoami命令,说明攻击成功的时间就是这两条python脚本访问的时间,简单观察可以看出执行了文件上传的操作(此处漏洞为phpmywind最近的RCE漏洞,漏洞编号:CNVD-2022-24937),因此本题答案:24/Apr/2022:15:25:53。大量的并发连接,且访问资源均返回404,且UA不正常,从这里可以得到本题答案,攻击者IP地址为192.168.1.7。
应急基础】————13、VBS遍历目录获取文件Hash
Fly_鹏程万里
03-01 1087
涉及到的代码:https://paste.ubuntu.com/p/7kV7C6xfnk/ ' =================================================== ' VBS遍历目录、遍历进程获取hash ' 基于wscript.shell、certutil,理论上支持Windows xp+ 系统 ' Code by Rvn0xsy, <Mail:rv...
应急基础】————10、windows补丁搜索网站
Fly_鹏程万里
03-01 487
Windows补丁搜索网站 当你在处理应急响应的时候,你也许碰到一些较新的windows漏洞被理由的情形,在这种情况下,你如何去为第三方提供安全的解决方案呢?Windows漏洞补丁查询网站可以帮助你解决这个问题! 网站地址:http://www.catalog.update.microsoft.com/Home.aspx ...
应急基础】————12、Powershell获得未签名的进程路径
Fly_鹏程万里
03-01 393
Powershell获得未签名的进程路径,代码如下: $Process = Get-WmiObject Win32_Process | Select Path foreach($p in $Process){ if($p.Path -ne $null){ $Signa = Get-AuthenticodeSignature $p.Path if($Signa...
基于Matlab/Simulink的风电调频与风储联合频域模型仿真及应用
04-06
内容概要:本文介绍了利用Matlab/Simulink进行风电调频与风储联合仿真的方法。针对传统时域仿真耗时的问题,提出了一种基于频域模型的方法,实现了快速高效的仿真。文中详细描述了虚拟惯性控制和储能下垂控制的具体实现方式及其对系统频率稳定性的影响。通过频域模型,将复杂的微分方程转化为简单的矩阵运算,显著提高了仿真速度。同时,加入了SOC(荷电状态)管理和滑动平均滤波,确保了储能系统的安全可靠运行。实验结果显示,在相同的硬件条件下,频域模型的仿真速度比传统时域模型快了近十倍,且频率偏差明显减小。 适合人群:从事电力系统仿真、风电调频研究的专业人士和技术爱好者。 使用场景及目标:适用于需要快速验证风电调频控制策略的研究人员和工程师。主要目标是在保证仿真精度的同时大幅提高仿真速度,为风电并网提供技术支持。 其他说明:本文提供的模型专注于调频性能分析,不涉及风机内部动态细节。对于更详细的风机模型,作者提供了进一步的参考资料。
含碳交易与绿证的智能楼宇微网优化调度模型及其MATLAB实现
04-06
内容概要:本文介绍了一种针对电热综合能源系统的优化调度模型,该模型在传统微网(风、光、储、火)的基础上加入了电动汽车(EVs)和智能楼宇单元,并引入了碳排放和绿色证书交易机制。模型通过MATLAB和YALMIP工具进行求解,主要关注于优化能源分配方案,降低整体成本并控制碳排放。文中详细讨论了模型的目标函数设计、约束条件设定、电动汽车充放电策略、智能楼宇温控负荷预测、绿证交易价格机制等方面的内容。实验结果显示,在考虑碳交易和绿证交易的情况下,系统的灵活性和经济性均有所提高。 适合人群:从事电力系统优化、智能楼宇设计、电动汽车调度等领域研究的专业人士和技术爱好者。 使用场景及目标:适用于希望深入了解电热综合能源系统优化调度方法的研究人员,尤其是那些对碳市场和绿证交易感兴趣的从业者。目标是提供一种能够有效整合多种能源形式并兼顾环境效益的解决方案。 其他说明:文中提供的代码片段展示了具体的实现细节,对于想要进一步探索相关领域的读者具有很高的参考价值。此外,作者还分享了一些调参经验和遇到的问题解决办法,有助于初学者更好地理解和应用这一复杂的优化模型。
texlive-cweb-7:20180414-12.el8.x64-86.rpm.tar.gz
最新发布
04-06
1、文件说明: Centos8操作系统texlive-cweb-7:20180414-12.el8.rpm以及相关依赖,全打包为一个tar.gz压缩包 2、安装指令: #Step1、解压 tar -zxvf texlive-cweb-7:20180414-12.el8.tar.gz #Step2、进入解压后的目录,执行安装 sudo rpm -ivh *.rpm
Matlab中地表水源热泵系统建模与粒子群算法优化制冷制热量
04-06
内容概要:本文详细介绍了如何使用Matlab对地表水源热泵系统进行建模,并采用粒子群算法来优化每小时的制冷量和制热量。首先,文章解释了地表水源热泵的工作原理及其重要性,随后展示了如何设定基本参数并构建热泵机组的基础模型。接着,文章深入探讨了粒子群算法的具体实现步骤,包括参数设置、粒子初始化、适应度评估以及粒子位置和速度的更新规则。为了确保优化的有效性和实用性,文中还讨论了如何处理实际应用中的约束条件,如设备的最大能力和制冷/制热模式之间的互斥关系。此外,作者分享了一些实用技巧,例如引入混合优化方法以加快收敛速度,以及在目标函数中加入额外的惩罚项来减少不必要的模式切换。最终,通过对优化结果的可视化分析,验证了所提出的方法能够显著降低能耗并提高系统的运行效率。 适用人群:从事暖通空调系统设计、优化及相关领域的工程师和技术人员,尤其是那些希望深入了解地表水源热泵系统特性和优化方法的专业人士。 使用场景及目标:适用于需要对地表水源热泵系统进行精确建模和优化的情景,旨在找到既满足建筑负荷需求又能使机组运行在最高效率点的制冷/制热量组合。主要目标是在保证室内舒适度的前提下,最大限度地节约能源并延长设备使用寿命。 其他说明:文中提供的Matlab代码片段可以帮助读者更好地理解和复现整个建模和优化过程。同时,作者强调了在实际工程项目中灵活调整相关参数的重要性,以便获得更好的优化效果。
流体力学中EMD经验模态分解的MATLAB实现与应用技巧
04-06
内容概要:本文详细介绍了经验模态分解(EMD)在流体力学领域的应用,特别是通过MATLAB进行流场数据分析的方法。首先,文章解释了EMD的基本概念及其在处理非平稳信号方面的优势,如湍流和涡旋数据。接着,提供了具体的MATLAB代码示例,展示了如何将原始流场数据分解为多个本征模态函数(IMF),并通过可视化手段展示分解结果。此外,文中还讨论了一些常见的EMD应用技巧,如边界效应处理、筛分停止准则设置以及针对特定应用场景(如二维速度场、三维加速度信号)的优化方法。最后,强调了EMD在流场信号解剖中的重要性和实用性,并分享了多个实战案例,包括圆柱绕流、翼型失速、船舶波浪载荷等。 适合人群:从事流体力学研究的专业人士,尤其是需要处理非平稳流场数据的研究人员和技术人员。 使用场景及目标:适用于需要对复杂流场数据进行精细分析的情景,如风洞实验、CFD模拟结果后处理等。主要目标是帮助用户更好地理解和解析流场中的多尺度动态行为,提高数据分析的准确性和效率。 其他说明:文章不仅提供了详细的理论讲解,还包括丰富的代码示例和实用技巧,有助于读者快速掌握EMD的应用方法。同时,附带的实例数据和视频教程进一步增强了学习效果。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值