煜铭2011

威胁情报是指：基于一定知识的证据，已经存在或正在形成的潜在威胁，比如，上下文、机制、指标、意义以及可实施的建议，利用这些，可以帮助当事人形成应对这些危险的决策。

0x00前言 在企业安全事件应急处置和异常行为分析的时候，往往需要对文件（windows/linux/android等平台的文件）进行安全检测，确认该文件是否为恶意文件（病毒、木马、后门、webshell、恶意广告软件、流氓软件等），以便确认文件的安全性，了解安全事件的攻击来源。0x01文件安全在线检测virustotal 多引擎查杀：https://www.virustot...

0x00前言 当企业发生web应用发生网络异常、可能存在web攻击的时候，需要排查分析web服务器和相关web日志，确认web应用是否被黑客攻击了，攻击类型有哪些类型、攻击IP是多少、是否可能被植入webshell、甚至控制系统等一系列溯源分析。 如果无法提取web日志到本地或者上传到日志分析系统，只能手工检测。可以提供以下方法0x01检测web是否存在攻击日志根据web攻击特征，检索分析日志是否包含攻击特征，如果检索结果里面包含攻击日志，证明web正在遭受攻击。1.SQ...

0x00前言当企业发生web应用发生网络异常、可能存在web攻击的时候，需要排查分析web服务器和相关web日志，确认web应用是否被黑客攻击了，攻击类型有哪些类型、攻击IP是多少、是否可能被植入webshell、甚至控制系统等一系列溯源分析。0x01排查思路1. 应急响应的原则3W1H原则：3W即Who、What、Why，1H即How，做应急响应要带着疑问来做事，一定要收集清楚这些信息。 易失性原则：免不了要做信息收集和取证的，但这里是有一定的先后顺序的，即最容易丢失的据，应该最先...

0x00前言 伴随着移动互联网的高速发展，移动应用APP的安全问题也走进了人们的视角，在企业安全建设过中，往往需要对企业移动应用APP进行一个安全风险评估，从而了解总体的安全情况，以下我们将简要介绍以下的几个APP安全在线检测平台0x01 在线检测平台爱家密 http://www.ijiami.cn/apply/Detect 免费 注册登录 无限制...

一、背景在用户不知情或未经允许的情况下，占用系统资源和网络资源进行挖矿，影响用户的网络和资源，从而获取虚拟币牟利。为了帮助应对恶意挖矿程序攻击，发现和清除恶意挖矿程序，防护和避免感染恶意挖矿程序，整理了如下针对挖矿活动相关的现状分析和检测处置建议。二、为什么会感染恶意挖矿程序通常遇到企业内网主机感染恶意挖矿程序，或者网站、服务器以及使用的云服务被植入恶意挖矿程序的时候，都不免提出“为什么会感染恶意挖矿程序，以及是如何感染的”诸如此类的问题，目前感染恶意挖矿程序的主要方式：2.1.利用类似其他病毒木

0x00 背景 近来处理webshell的时候，发现文件类型被篡改了，如何从HEX编码从判断是否为正常的文件，例如jpg是否为普通jpg还是合成了恶意代码的jpg，故需要分析文件头文件尾，进行一个简单的判断0x01安装工具相对来说，简单快捷的是安装notepad++,然后安装Hex-Editor插件。当前使用其他的，例如UltraEdit、winhex、IDA pro也是不错的选...

使用 Linux 工具进行计算机取证    本文通过介绍 Linux 系统工具（Ftkimage、xmount、Volatility、dd、netcat）来介绍使用计算机取证的方法和步骤。 硬盘数据的取证是指为了证据保全，确保取证工作造成数据丢失，在获取到证据介质后，首先要做的就是对介质数据进行全盘镜像备份。内存取证主要通过对内存数据及其缓存硬盘数据进行分析，提取那些对案件侦破可能有重要意义的

0x00 rootkit简介rootkit是Linux平台下最常见的一种木马后门工具，它主要通过替换系统文件来达到入侵和和隐蔽的目的，这种木马比普通木马后门更加危险和隐蔽，普通的检测工具和检查手段很难发现这种木马。rootkit攻击能力极强，对系统的危害很大，它通过一套工具来建立后门和隐藏行迹，从而让攻击者保住权限，以使它在任何时候都可以使用root权限登录到系统。rootkit主要有两种类型：文...

0x00 前言      lsof（list open files  ~~~ “ls + of”的组合）是一个列出当前系统打开文件的工具。在linux环境下，任何事物都以文件的形式存在，通过文件不仅仅可以访问常规数据，还可以访问网络连接和硬件。在终端下输入lsof即可显示系统打开的文件，因为 lsof 需要访问核心内存和各种文件，所以必须以 root 用户的身份运行它才能够充分地发挥其功能。

0x00前言 lynis是一款开源的unix-based平台的审计工具。可以帮助审计员扫描unix系统以及可用的软件。程序主要探测，系统上安装的程序包，配置上的错误，以及安全问题和系统信息。0x01 下载与安装1 通过直接下载进行安装步骤一：建立下载的目录root@kali:~# mkdir -p /usr/local/lynis && cd /us...

为了对抗 DDoS(分布式拒绝服务)攻击，你需要对攻击时发生了什么有一个清楚的理解. 简单来讲，DDoS 攻击可以通过利用服务器上的漏洞，或者消耗服务器上的资源(例如 内存、硬盘等等)来达到目的。DDoS 攻击主要要两大类: 带宽耗尽攻击和资源耗尽攻击. 为了有效遏制这两种类型的攻击，你可以按照下面列出的步骤来做：1. 如果只有几台计算机是攻击的来源，并且你已经确定了这些来源的 IP

0x00 背景 现在的互联网安全监管趋严，存在不少案例是某某软件需要卸载密码，但是电脑使用者并不知道这个密码，但他有需要需要卸载电脑的某某软件，但该软件需要密码才能进行卸载。例如离职员工安装了前东家的安全软件，但离职时未卸载。 此外，使用普通的软件管理工具无法卸载，如360的软件管家、腾讯的软件管家、软媒魔方的软件管理，电脑本身的程序卸载等。0x01 删除思路...............

0x00 前言在我们日常运维中，难免有几个网站或者主机被入侵，这时就出现应急响应需求。那么我们应该怎样着手分析昵？本文将为你细细道来，其中由于都是文字描述思路，所以各位要有耐心读完全文。但是这个思路分析讲解得非常详细，按部就班，一步一步描述了整个取证分析过程。0x01 Webshell入侵的取证1取证的环境①被其他第三方通知，AA网站被种植了后门②管理员提供了打包后的源码及日志...

0x00前言 linux或者Unix系统经常被用作服务器，并且安全性往往比windows高，但是在linux查杀病毒往往得依靠管理员执行find, grep等命令查看文件以确认文件是否为病毒，但由于本身linux服务器的病毒就较少，精通linux安全的系统管理员更是可遇不可求。 但是，随着linux服务器在市场上的占用率的飙升，linux系统病毒事件逐步出现在公众视野，...

0x00 勒索病毒背景自2017年5月WannaCry（永恒之蓝勒索蠕虫）大规模爆发以来，勒索病毒已成为对政企机构和网民直接威胁最大的一类木马病毒。近期爆发的Globelmposter、GandCrab、Crysis等勒索病毒，攻击者更是将攻击的矛头对准企业服务器，并形成产业化；而且勒索病毒的质量和数量的不断攀升，已经成为政企机构面临的最大的网络威胁之一。即使安装了杀毒软件，即使防护再强，...

0x00 背景 相信大家在遇到计算机中毒的情况时都是首先通过杀毒软件来进行扫描清除的，大多数时候杀毒软件也能把系统中的病毒找出并清除。但是我们往往会忽略查杀后的病毒的具体名字，就算认真观察也只是看懂名字而不知具体的代表含义以及具体起这个名字的缘由。事实上如果我们掌握一些病毒的命名规则，我们就能通过杀毒软件的报告中出现的病毒名来判断该病毒的一些公有的特性了。为此本次的讲解课...

0x00 背景 突然发现某台服务器出现大量的流量攻击，峰值达到24.7G, 阿里云进行异常告警，以此为案例进行延伸思考学习。0x01CLDAP协议 Reflection DDoS攻击响应1. 缺陷原理 轻量目录访问协议（LDAP）被定义在RFC2251（LDAPv3）中，由于LDAP是以TCP字节流的方式进行数据传输，其必要的绑定操作和频繁的数据搜索查询...

0x00前言在我们部署Web应用中，往往会伴随着很多日志消息产生，例如iis、apache、nginx等Web容器往往会产生众多的日志消息。其中如果使用人工审阅这些消息，工作量实在太大了，另外还需要攥写日志分析报告和风险分析。故如果室纯粹人工完成这项工作，工作量实在非常大。0x01 前期准备工作我们可以用两种方式进行日志方式：一种是本地审计---即是直接把日志从服务器中复制到本地电脑；...

0x00 前言   在安全服务工程师的日常工作中，一般都会有日志分析这项工作的。因为在发现安全事件和入侵取证的时候都需要对Web日志进行分析，从中得到一些入侵者的攻击方式、攻击事件、时间等信息。在此我搭建awstats-7.5进行辅助日志分析。并且以windows Server2008为平台进行搭建。0x01 下载与安装# 因为linux平台会带有ruby的安装。所以在linux平台搭

0x0背景 Paradise(天堂)勒索病毒最早出现在2018年七月份左右，Paradise勒索病毒，翻译成中文是 “天堂勒索” ，此病毒运行之后使用对称算法加密受害者文件，使用RSA算法加密密钥，没有作者RSA私钥无法解密文件，病毒会判断系统语言，如果系统语言在指定列表中则删除自身，否则执行加密操作，国内已经有用户中招。0x01 解密工具下载链接：https://www....

0x01 前言 ImageMagick是一套功能强大、稳定而且开源的工具集和开发包，可以用来读、写和处理超过89种基本格式的图片文件，包括流行的TIFF、JPEG、GIF、PNG、PDF以及PhotoCD等格式。众多的网站平台都是用他渲染处理图片。可惜在3号时被公开了一些列漏洞，其中一个漏洞可导致远程执行代码（RCE），如果你处理用户提交的图片。该漏洞是针对在野外使用此漏洞。许多图...

0x00 勒索病毒背景自2017年5月WannaCry（永恒之蓝勒索蠕虫）大规模爆发以来，勒索病毒已成为对政企机构和网民直接威胁最大的一类木马病毒。近期爆发的Globelmposter、GandCrab、Crysis等勒索病毒，攻击者更是将攻击的矛头对准企业服务器，并形成产业化；而且勒索病毒的质量和数量的不断攀升，已经成为政企机构面临的最大的网络威胁之一。即使安装了杀毒软件，即使防护再强，...

0x00 前言windows下的命令行的功能并不亚于linux, Windows的复杂程度更是远远高于linux。在平时一般的操作和使用中，windows确实比linux容易。但是一旦涉及到高级安全设置，这时windows明显比linux复杂很多。只是我们平时绝大多数并不会去碰这些高级设置。0x01 诊断技巧# 以下的命令均是在cmd 下进行输入1、WMIC 启动项wmic

0x00 背景 2019 年 5 月 15 日微软发布安全补丁修复了 CVE 编号为 CVE-2019-0708 的 Windows 远程桌面服务（RDP） 远程代码执行漏洞，该漏洞在不需身份认证的情况下即可远程触发，危害与影响面极大。Windows 远程桌面服务（RDP）主要用于管理人员对 Windows 服务器进行远程管理，使用量极大。近日微软官方披露 Windows 中的...

0x01 移动存储 纵然网络云盘等日渐普及，但是企业员工使用移动存储盘进行数据交换的频率仍旧高，尤其是U盘带来了很多方便，但如果感染了病毒的话就会给我们带来很多困扰。0x02 常见问题1、对于U盘，一般作为临时拷贝文件使用，不适合：长期存放重要文件、直接打开编辑、直接运行软件等操作。2、对于重要文件，拷贝到U盘使用后应及时删除，并将U盘及时拔下，避免长期插在电脑。2、...

0X01 背景描述 RPC服务器，是指Remote Procedure Call Protocol，中文释义为（RFC-1831）远程过程调用协议：一种通过网络从远程计算机程序上请求服务，而不需要了解底层网络技术的协议。0X01 启动关停 "开始"→"设置"→"控制面板"找到"管理工具"→"服务"，找到"remote procedure call (rpc)"，双击打开，在...

Windows文件安全0x01 文件权限安全1.1 .文件夹带锁这里说的文件带标识，文件夹带图标。场景1：同一个windows系统里面，会造成A用户登录后，无法访问B用户创建的文件夹；场景2：重装电脑系统后，旧电脑用户的是YY，现在电脑用户是MM，由于之前很多文件和文件夹都是YY创建使用的，现在打开这些文件时，提示无权限等，是由于MM没有继承YY的权限或者属主问题场景3：作...

0x00 前言 windows文件夹和windows文件是我们经常接触到，但是我们经常会遇到这么一种恶意操作，强制把文件夹属性设置成隐藏属性并且变成灰色，这就导致我们在图形化界面无法对文件和文件夹进行操作。0x01 分析当我们遇到文件夹被恶意隐藏，并且通过图形化界面看到文件夹的属性已经被锁定成隐藏，并且无法更改，我们这时需要把进行dos界面进行操作方可0x02 问题解决...

windows 文件共享安全风险0x01 背景为了提前发现集团内网的Windows文件共享服务的安全风险，避免不必要的损失和数据泄露，采用技术手段对整个集团内网（10.1.0.0/16)的电脑进行安全检测，发现存在的问题。0x02 工具本次使用网络扫描工具netscan，如需该工具，可以自行百度申请，操作流程如下2.1 基本设置 打开该工具，如下操作2....

0x00 背景该工具用于查杀网站上可能存在的DDOS恶意脚本。用户只需将该脚本上传并解压到网站根目录，即可通过浏览器访问轻松查杀恶意文件。0x01 下载与安装1、下载链接：http://wangzhan.360.cn/news/download2、当我们下载并且解压了360doskill.zip，可以看到360doskill.php 和PHP-DOS攻击脚本专杀工具使用帮助.do...

0x00前言     HexorBase是一个数据库应用。它是为从一个集中的位置同时管理和审计多个数据库服务器而被设计出来的。它能够执行SQL查询和对常见的数据库服务器暴力破解攻击（MySQL和SQLite的，微软SQL服务器，甲骨文和PostgreSQL）.HexorBase允许通过代理进行数据包路由甚至以Metasploit为核心进行路由从而去和隐藏在本地子网内的远程服务器进行通信。