.

原创 帮助指南 | Python multiprocessing 多进程 写文件乱序问题

import osfrom multiprocessing import Pooldef log_check(log): ''' '''def main(log): ''' ''' return ?if __name__ == "__main__": # 设置线程数量 pool = Pool(5) # 读取文件 log_list = [i.replace("\n","") for i in open("file.js.

原创 信息安全 | YARA特征规则介绍与编写

YRAR规则通过编写YARA规则，我们可以基于文本或二进制模式对已掌握的恶意样本特征进行检测匹配，从而帮助我们更好的识别和分类恶意样本。支持平台Windows，Linux和Mac OS官方文档yara.readthedocs.io/en/v3.7.0/writingrules.html规则组成规则名常用规则名的例子：恶意样本类型_家族描述 meta该区域主要是对规则进行描述，详细的规则描述能够大大的降低后续维护规则的成本。文本字符串区域支持类型有三种：十六进制字符串

原创 Python | 检测Windows自启动情况（系统启动目录、注册表启动项、系统服务）

# -*-coding:utf-8-*-import hashlib,os,winreg,wmi# 获取文件md5def CalcMD5(path): with open(path, 'rb') as f: md5obj = hashlib.md5() md5obj.update(f.read()) hash = md5obj.hexdigest() return hashif __name__ == '__main__':

原创 样本分析 | 整理了527种文件格式类型的文件头 （参考使用）

.256 ： ['0x46', '0x4f', '0x52', '0x4d', '0x0'].3gp ： ['0x0', '0x0', '0x0', '0x20', '0x66'].3mf ： ['0x50', '0x4b', '0x3', '0x4', '0xa'].4bt ： ['0x47', '0x4f', '0x44', '0x30', '0xad'].82i ： ['0x2a', '0x2a', '0x54', '0x49', '0x38'].8ca ： ['0x2a', '0x2a',

原创 情报运营 | VirusTotal Hunting 笔记 - 自动生成YARA规则、通过YARA规则实时打捞VT样本

VirusTotalVT是一个提供可疑文件分析服务的网站，它与传统杀毒软件的不同之处是它通过多种反病毒引擎扫描文件。所上传的文件会被多种反病毒引擎对进行扫描检测，可以通过结果信息进行参考，判断文件是否被病毒, 蠕虫, 木马, 以及各类恶意软件感染等等。VirusTotal HuntingVT Hunting是一项利用VirusTotal数据集的YARA功能服务。通过编写基于文本或二进制模式的恶意样本YARA规则，将其上传到VirusTotal进行实时跟踪。一旦命中规则就可以收到推送通知，即可针对样本

原创 信息安全 | 威胁特征规则介绍与编写：Snort规则

Snort规则Snort是一个轻量级的网络入侵检测系统。具有实时数据流量分析日志IP网络数据包捕获的能力，能够进行协议分析，对内容进行搜索/匹配。通过编写规则文件，能够检测各种不同的攻击方式，对攻击进行实时告警。支持平台Windows，Linux和Mac OS参考文档wangan.com/docs/snortnet规则组成规则头规则行为协议类型源/目的IP地址子网掩码方向操作符源/目的端口规则选项告警信息异常数据的信息（特征码、signature）

原创 应急响应 | Windows事件ID及解释大全

0 操作成功完成。1 函数不正确。2 系统找不到指定的文件。3 系统找不到指定的路径。4 系统无法打开文件。5 拒绝访问。6 句柄无效。7 存储控制块被损坏。8 存储空间不足，无法处理此命令。9 存储控制块地址无效。10 环境不正确。11 试图加载格式不正确的程序。12 访问码无效。13 数据无效。14 存储空间不足，无法完成此操作。15 系统找不到指定的驱动器。16 无法删除目录。17 系统无法将文件移到不同的驱动器。18 没有更多文件。19 介质受写入保护。20

原创 应急响应 | 通过Python对Windows事件日志进行解析

Python-evtxpython-evtx是用于最近的Windows事件日志文件（文件扩展名为“ .evtx”的文件）的纯Python解析器。该模块提供对File和Chunk标头，记录模板和事件条目的编程访问。Python-evtx 安装下载pip install python-evtxGitHub链接https://github.com/williballenthin/python-evtx待解析Windows事件日志Security.evtxMicrosoft-Windows-

原创 Python | 根据关键字符串遍历窗口 模拟键盘输入操作

在自动化脚本测试某个程序的过程中，偶尔会因为文件读取操作弹出各种信息窗口，导致自动化脚本无法继续往下执行。为了解决这个问题，需要隔一段时间对信息窗口进行一次遍历，针对需要处理的窗口进行模拟键盘输入操作，让自动化脚本能够持续执行。# -*- coding:UTF-8 -*- import osimport win32guiimport win32apiimport win32con# 获取所有窗口句柄信息def get_all_hwnd(hwnd, mouse): if win32gu

原创 信息安全 | 病毒分析的基础流程、报告编写、特征提取

病毒分析的基础流程、报告编写、特征提取基础流程静态分析文件类型API信息字符串提取壳检测反汇编动态分析虚拟机注册表检测文件操作检测进程检测网络检测动态调试常用工具反汇编网络监听行为分析脱壳工具其他WinMD5Strings报告编写样本信息样本行为查杀清除工作关联溯源特征提取静态特征YARA特征病毒名特征敏感信息特征注册表、服务名网络数据互斥体动态行为基础流程当我们拿到一个样本的时候，可以尝试将样本的MD5、SHA1等基础特征信息在各类反病毒引擎扫描平台进行检测识别。[如果是涉密样本，则不建议将其上传到公

原创 帮助指南 | Python通过Scapy库读取超大PCAP格式数据包缓慢问题

在进行「流量数据分析」的过程中，想利用Python的Scapy库写脚本来协助分析流量数据。但是，由于需要分析的数据包过大（500M以上），导致脚本在加载数据包文件后读取执行异常的慢。而通过下面这种方式读取数据包就会快很多，但在分析流量数据上就没有Scapy那么“友好”。import dpktfrom scapy import *# 读取pcap文件f = open('file_name.pcap','rb')pcap = dpkt.pcap.Reader(f) for ts,buf i..

原创 帮助指南 | Python在使用dpkt库的时候报错 “ValueError: invalid tcpdump header”

报错信息：Traceback (most recent call last): File "E:\test.py", line 57, in <module> pcap = dpkt.pcap.Reader(filename) File "C:\python39\lib\site-packages\dpkt\pcap.py", line 285, in __init__ raise ValueError('invalid tcpdump header')Va...

原创 安全运营 | 如何从海量告警中筛选出真实有效的攻击？

​在考虑“如何从海量告警中筛选出真实有效的攻击？”这个问题前，我一直在思考如何更好的将「告警日志数据」转换为「情报数据」进行输出。但考虑到「情报数据」的积累是一件相对比较长期的事情，无法在短时间内让政企客户快速感知到「情报数据」的价值。那么想要“即时”的体现「安全感」，还是要在「攻击有效性」的检测上多花点时间。告警日志数据主要来自：WAF、IPS「入侵防御系统」、IDS「入侵防御系统」、蜜罐、NTA、EDR、APT、防病毒、堡垒机、态势感知等安全设备。当安全设备检测到来自外部或内部的「攻击..

原创 漏洞挖掘 | Fuzz 模糊测试的基础流程

1. 确认Fuzz目标分析源代码2. Fuzz工具的制定&挑选编写Fuzz工具&脚本3. 开始FuzzFuzz的性能检测&优化 捕获Crash事件4. 结果处理Crash分析

原创 渗透测试 | 几款常用的CMS识别「Web指纹识别」扫描脚本&工具（含下载地址）

在对「靶标资产」进行渗透测试的前期，通常需要对「靶标资产」进行相关的信息收集，而对「靶标资产」进行Web指纹信息扫描也是信息收集当中很关键的一部分。能否有效识别出「靶标资产」的Web指纹信息，主要还是取决于扫描脚本&工具内置的「指纹信息特征库」，而今天介绍的这几款常用的CMS识别「Web指纹识别」扫描脚本&工具，它们的指纹库的覆盖情况也是相对比较OK的。但在一些特殊的渗透测试环境中，还是需要根据测试情况对指纹库进行优化&规整，从而提升指纹识别的效率。表格中列出的是一些能够..

原创 报错分析 | Splunk 因“max_rawsize_perchunk”配置问题导致搜索内存不足

报错信息Events may not be returned in sub-second order due to search memory limits configured in limits.conf :max_rawsize_perchunk. See search.log for more information.处理办法1. 打开Splunk安装目录2. 根据「etc\system\default」路径信息，找到「limits.conf」文件。3. 修改「max_raw

原创 Python | 多线程处理数据并写入到文件，但数据内容存在残缺混乱的情况。

通过Python的「threadpool」模块进行多线程处理数据。# 定义了一个线程池，最多可以创建60个线程pool = threadpool.ThreadPool(60)# 调用makeRequests创建了要开启多线程的函数，以及函数相关参数和回调函数requests = threadpool.makeRequests(some_callable, list_of_args)# 将所有要运行多线程的请求扔进线程池[pool.putRequest(req) for req in re..

原创 挖洞思路 | 通过Splunk对“EDU SRC”的公开情报信息进行数据分析

在挖SRC的过程中，“挑软柿子捏”已经算是一种常规思路。而对于刚开始挖SRC的小伙伴来说，「挑选目标」以及「挖掘漏洞的方向」似乎是一件比较让人纠结的事情。所以，我们就在思考能否通过爬虫脚本抓取「教育行业漏洞报告平台」上的公开数据做分析，再根据各大院校漏洞公布情况输出「情报数据」，为我们在「挑选目标」以及「挖掘漏洞的方向」上提供一些「情报信息」作为参考。「教育行业漏洞报告平台」现有的公开情报信息：漏洞列表：时间、漏洞标题、等级、漏洞上报人员 全国高校漏洞排行榜：排名、单位、漏洞总数、漏...

原创 Python | 根据关键字符串遍历窗口 模拟键盘输入操作

# coding:utf-8import osimport win32guiimport win32apiimport win32conimport timedef get_all_hwnd(hwnd, mouse): if win32gui.IsWindow(hwnd) and win32gui.IsWindowEnabled(hwnd) and win32gui.IsWindowVisible(hwnd): hwnd_title.update({hwnd...

原创 渗透测试 | Web安全漏洞原理 - XSS

简述XSS(Cross Site Scripting)，即跨站脚本攻击，是一种常见的计算机安全漏洞。攻击者通过在用户端输入恶意的可执行脚本代码，若服务器端对所输入的内容未进行过滤处理，恶意的可执行脚本代码将输出到浏览器，并执行注入的恶意脚本代码。类型反射型XSS 存储型XSS DOM型XSS反射型XSS用户端输入的内容通过浏览器传输到服务器，服务器在接受到内容后直接反射传输回来，输入的内容直接在用户端浏览器解析执行。存储型XSS用户端输入的内容通过浏览器传输到服务器，服务器..

原创 信息安全 | 利用oletools-python分析恶意文档样本

前言通过学习oletools-python后，能够对恶意文档样本进行基础的分析工作。什么是oletools-pythonoletools-python工具，用于分析MS OLE2文件（结构化存储，复合文件二进制格式）和MS Office文档，以进行恶意软件分析，取证和调试。下载安装Linux、Mac：sudo -H pip install -U oletools Windows：pip install -U oletools官网链接：https://pypi.org/proje..

原创 信息安全 | 护网行动面试题目汇总 （持续整理）

原创 实用干货 | Linux常用基础命令大全（建议收藏）

系统目录系统信息关机 (系统的关机、重启以及登出 )文件和目录文件搜索挂载一个文件系统磁盘空间用户和群组文件的权限 - 使用 "+" 设置权限，使用 "-" 用于取消文件的特殊属性 - 使用 "+" 设置权限，使用 "-" 用于取消打包和压缩文件RPM 包 - （Fedora, Redhat及类似系统）YUM 软件包升级器 - （Fedora, RedHat及类似系统）DEB 包 (Debian, Ubuntu 以及类似...

原创 关于态势感知，客户到底需要些什么？

在考虑这个问题之前，我有问过自己：“到底什么是态势感知？”。按照网络上的说法，态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力。是以安全大数据为技术，灵活地从庞大的工具堆栈中摄取、关联和可视化数据。从这一段概念中我理解到「态势感知」的能力源于数据，而在构建「态势感知」的整个过程中，从企业安全控件、应用、软硬件中收集安全日志数据就是我们第一阶段需要做事情。我们通过对这些安全日志数据进行分析，从中挖掘有价值的情报数据进行输出。当情报数据积累到一定程度后，就可以对不同数据源收集的情报数据进行深层的..