学习溢出-优快云博客

原创【不联网装机】USB 安装 Windows 11 并绕过联网设置（无需 Internet）

本文介绍如何在安装Windows 11时跳过联网和微软账户要求。方法包括：准备USB启动盘，下载官方安装工具制作启动盘，在安装界面使用Shift+F10打开命令提示符输入"OOBE\BYPASSNRO"命令，重启后选择"我没有Internet连接"即可创建本地账户完成安装。该方法适用于需要离线安装或使用本地账户的用户，操作简单实用。

2025-12-18 05:55:48 446

原创【网络安全】入侵检测系统 Suricata 概述 | IDS

Suricata是一款开源的入侵检测与防御系统(IDS/IPS)，具备网络安全监控能力。它通过规则匹配来识别恶意流量，规则由动作、包头和选项三部分组成。用户可自定义规则以提高检测精度，配置文件采用YAML格式。Suricata会生成两种日志：包含完整元数据的eve.json和仅记录基本信息的fast.log。正确配置Suricata能显著提升网络可见性和威胁检测能力，其灵活性和可定制性使其成为网络安全防护的重要工具。

2025-08-06 23:42:44 1212 1

原创【网络安全】日志文件格式

本文介绍了信息安全领域常见的五种日志文件格式：JSON、Syslog、XML、CSV和CEF。JSON采用键值对结构，适合Web数据传输；Syslog包含头、结构化数据和消息三部分，是Unix系统的标准格式；XML使用标签和元素，主要用于Windows系统；CSV以逗号分隔数据值；CEF则通过竖线分隔字段，扩展部分采用键值对。每种格式都有特定语法和适用场景，安全分析师需掌握这些格式的结构特点，才能有效识别日志中的异常或恶意活动。日志分析能力对事件调查和安全防护至关重要。

2025-08-03 23:37:15 1127

原创【网络安全】理解安全事件的“三分法”流程：应对警报的第一道防线

摘要：网络安全警报三分法（Triage）是安全分析师高效处理大量警报的核心流程，借鉴医疗领域优先级分类理念。其三大步骤包括：1）接收与评估，验证警报真实性并判断严重程度；2）分配优先级，基于功能影响、数据泄露风险及可恢复性区分处理顺序；3）收集与分析，整合日志、威胁情报等证据进行深入调查。三分法的优势在于优化资源分配、缩短关键事件响应时间，并通过标准化流程（如操作手册）提升处理一致性。掌握这一方法有助于安全团队快速应对威胁，成为抵御网络攻击的重要防线。（150字）

2025-07-11 17:29:15 541

原创【网络安全】深入理解 IoC 与 IoA：从“事后识别”到“事前防御”

摘要：IoC（入侵指标）和IoA（攻击指标）是网络安全中的关键概念。IoC关注攻击后的痕迹（如恶意文件哈希、异常IP），用于事后调查和防御；IoA则聚焦攻击过程中的行为特征（如权限提升、横向移动），可在攻击发生前预警。两者的结合可实现从被动响应到主动防御的转变，通过日志监控、自动化响应和威胁情报订阅构建更智能的安全体系。IoA尤其适用于预测性防御，帮助企业在攻击链早期阻断威胁，提升整体安全态势。

2025-07-03 00:20:20 1432

原创【网络安全】持续监控CI/CD：自动发现威胁与IoCs，软件供应链安全

本文探讨了CI/CD流水线的安全监控与自动化威胁检测的重要性。随着CI/CD加速软件交付，攻击面也随之扩大，攻击者可能通过注入恶意代码、窃取机密等手段入侵系统。有效的监控不仅需要日志收集，还应具备实时分析异常行为、自动发现威胁和快速响应的能力。文章列举了常见入侵指标(IoCs)，如非授权代码变更、可疑部署模式等，并提出自动化监测方法，包括全面日志审计、集成SIEM系统、实时告警机制等。这些措施有助于构建安全的DevOps体系，及时发现并应对潜在威胁。

2025-07-03 00:02:06 951

原创【网络安全】网络协议分析利器：tcpdump 使用指南

摘要：tcpdump是一款强大的命令行网络协议分析工具，用于捕获和分析网络流量数据。文章详细介绍了tcpdump的基本用法，包括常用参数如-i（指定接口）、-w（保存文件）、-r（读取文件）、-v（详细输出）等，以及如何通过表达式精确过滤数据包。作为网络安全分析的重要工具，tcpdump能够帮助分析人员识别异常流量和潜在攻击，是网络安全防护的关键技术手段。建议配合-nn参数使用以获得更准确的分析结果。（150字）

2025-06-25 00:50:40 1056

原创【网络安全】从IP头部看网络通信：IPv4、IPv6与抓包工具 Wireshark 实战

IP（Internet Protocol，互联网协议）是互联网通信的基石。它负责将数据包从源地址发送到目标地址。IP 协议规定了数据包的格式和路由方式，是实现不同设备之间通信的“邮递系统”。IPv4IPv6它们的核心区别除了地址长度外，也体现在头部结构的不同设计上。

2025-06-24 23:39:08 1841 1

原创【网络安全】有效威胁模型的特征

威胁建模是识别资产、其漏洞以及每种资产如何暴露于威胁的过程。它是一种战略方法，结合了各种安全活动，例如漏洞管理、威胁分析和事件响应。安全团队通常会执行这些演练，以确保其系统得到充分保护。威胁建模的另一个用途是主动寻找降低任何系统或业务流程风险的方法。传统上，威胁建模与应用程序开发领域相关。本文将介绍用于设计能够抵御攻击的软件的常见威胁建模框架。您还将了解日益增长的应用程序安全需求以及您可以参与其中的方式。

2025-04-28 11:00:00 1023

原创【网络安全】恶意软件简介

恶意软件种类繁多，令人震惊。其传播方式更是多得惊人。恶意软件是一种复杂的威胁，需要网络安全方面的专业技能。即使不专门从事恶意软件分析，识别恶意软件的类型及其传播方式也是安全分析师防御这些攻击的重要组成部分。

2025-04-28 09:15:00 762

原创【网络安全】用 Linux 命令行 CLI 日志文件处理指南

在数据分析的世界里，图形界面（GUI）确实很方便，尤其是进行可视化处理时，优势明显。但当我们需要处理海量数据时，GUI 就显得力不从心了 —— 性能受限、稳定性不足，甚至没有对应的功能按钮。那么，当你想查看/提取某些信息，但 GUI 没有对应功能时怎么办？掌握命令行（CLI）处理数据的能力，就是你的超级武器！无论是在安全分析、日志调查，还是数据包处理时，灵活运用命令行工具、BPF 过滤器和正则表达式，能让你迅速找到想要的结果。今天就为大家整理一份CLI 快速秘籍，帮助你高效处理日志文件！

2025-04-26 22:35:15 611

原创【网络安全】网络钓鱼的类型

网络钓鱼是最常见的社会工程学类型之一，它是一种利用人为错误来获取私人信息、访问权限或贵重物品的操纵技术。之前，您学习了网络钓鱼是如何利用数字通信诱骗人们泄露敏感数据或部署恶意软件的。有时，网络钓鱼攻击会伪装成来自值得信赖的个人或企业。这可能会导致毫无戒心的收件人违背自己的判断，从而破坏安全程序。在本文中，您将了解当今攻击者常用的网络钓鱼策略。

2025-04-24 20:27:26 916

原创【网络安全】社会工程学策略

社会工程攻击是威胁行为者常用的攻击方式。这是因为，诱骗人们提供访问权限、信息或金钱通常比利用软件或网络漏洞更容易。您可能还记得，社会工程学是一种利用人为错误来获取私人信息、访问权限或贵重物品的操纵技术。它是一个涵盖性术语，可以涵盖各种各样的攻击。每种技术都旨在利用人们的信任天性和他们乐于助人的本性。在本篇文章中，您将了解需要警惕的具体社会工程学策略。您还将了解组织应对这些威胁的方法。

2025-04-24 20:06:35 1161 2

原创【网络安全】OWASP 十大漏洞

OWASP 是一个致力于提高软件安全性的非营利基金会。OWASP 是一个开放平台，世界各地的安全专业人士可以在此分享网络安全相关的信息、工具和活动。OWASP 最有价值的资源之一是 OWASP Top 10。该组织自 2003 年以来一直发布此列表，旨在提高人们对网络上最易受攻击的漏洞的认识。Top 10 主要适用于新软件或定制软件。许多全球最大的组织在应用程序开发过程中都会参考 OWASP Top 10，以确保其程序能够解决常见的安全错误。

2025-04-21 18:58:34 1368 2

原创【网络安全】CI/CD 流水线漏洞

CI/CD 自动化了从代码创建到部署的整个软件发布流程。这种自动化使现代开发团队能够敏捷地快速响应用户需求。

2025-04-21 17:51:45 874

原创【网络安全】Snort 使用入门：命令详解与实践指南

Snort 是一个强大的开源入侵检测系统（IDS）和入侵防御系统（IPS），在网络安全领域被广泛使用。本文将介绍如何使用命令行正确运行 Snort，以及排查常见问题的方法。实时检测网络攻击记录网络活动与自定义规则配合使用实现深度检测嗅探模式（Sniffer）：只监听数据包，不分析。包记录模式（Packet Logger）：将数据包保存到日志。入侵检测模式（IDS）：根据规则分析数据包并产生警报。

2025-04-21 01:02:33 2718

原创【网络安全】你真的懂编码、加密与哈希吗？一次搞懂概念、区别与Python代码示例

在日常开发、数据传输、安全通信中，我们经常听到编码（Encoding）、加密（Encryption）、哈希（Hashing）这三个术语。它们虽然听起来相似，甚至有时都用到了“转换数据”的操作，但它们的目的、可逆性和安全性完全不同。这篇文章将通过通俗易懂的解释、实际应用场景，以及详细的 Python 示例代码，带你全面理解这三个概念。编码是一种将数据从一种格式转换为另一种格式的方式，目的是让数据可以被系统识别、传输或存储。编码不是为了安全，是可逆的，而是为了兼容。

2025-04-13 19:38:38 933

原创【网络安全】无线安全协议的演变

如今，许多人将无线互联网称为 Wi-Fi。Wi -Fi是指定义无线局域网通信的一组标准。Wi-Fi 是无线以太网兼容联盟 (WECA) 委托的营销术语。WECA 现已将其组织更名为 Wi-Fi 联盟。Wi-Fi 标准和协议基于电气和电子工程师协会 (IEEE) 确定的 802.11 系列互联网通信标准。因此，作为一名安全分析师，您可能还会看到 Wi-Fi 被称为 IEEE 802.11。Wi-Fi 通信由无线网络协议保护。多年来，无线安全协议不断发展，有助于识别和解决更先进的无线技术的漏洞。

2025-02-11 06:23:38 1156

原创【网络安全】常见网络协议

网络协议是网络上两个或多个设备使用的一组规则，用于描述传输顺序和数据结构。网络协议充当数据包中信息附带的指令。这些指令告诉接收设备如何处理数据。协议就像一种通用语言，让世界各地的设备能够相互通信和理解。尽管网络协议在网络通信中发挥着重要作用，但安全分析师仍应了解其相关的安全隐患。某些协议存在可被恶意攻击者利用的漏洞。例如，恶意攻击者可以使用将网址解析为 IP 地址的域名系统 (DNS) 协议将流量从合法网站转移到包含恶意软件的恶意网站。

2025-02-11 06:04:59 1079

原创【网络安全 SOC】痛苦金字塔 Pyramid Of Pain

痛苦金字塔这一著名概念正在应用于思科安全、SentinelOne和SOCRadar等网络安全解决方案，以提高CTI（网络威胁情报）、威胁搜寻和事件响应演习的有效性。作为威胁猎人、事件响应者或SOC分析师，理解痛苦金字塔概念非常重要。哈希值（HASH Values）：SHA1、MD5 或其他与特定可疑或恶意文件相对应的类似哈希值。哈希值通常用于为特定恶意软件样本或涉及入侵的文件提供唯一引用IP 地址（IP Address）：顾名思义，但也包括网络块。

2025-01-11 02:34:17 1572

原创【网络安全】John the Ripper 散列密码，PDF密码

假设我们已经获取到一个数据泄露中包含的散列密码文件 hash1.txt，并需要还原原始密码。如果直接破解失败，可能是因为目标密码进行了变形处理。使用规则。

2024-12-24 01:17:45 876

原创【网络安全】逆向工程练习示例

逆向工程 (RE) 是将某物分解以了解其功能的过程。在网络安全中，逆向工程用于分析应用程序（二进制文件）的运行方式。这可用于确定应用程序是否是恶意的或是否存在任何安全漏洞。例如，网络安全分析师对攻击者分发的恶意应用程序进行逆向工程，以了解是否有任何可归因的指标将二进制文件与攻击者联系起来，以及任何可能的防御恶意二进制文件的方法。一个著名的例子是2017 年 5 月的WannaCry勒索软件。

2024-12-22 06:02:10 2254

原创【网络安全】用 Frida 修改软件为你所用

Frida中最重要的功能之一是采集器——Interceptor。它允许我们观察、修改内部函数的输入和输出，以及跟踪它们的行为。例如，对于一个类似于此的进程：你可以使用Frida采集器监控函数调用，更改函数参数值，并返回一个修改后的结果。

2024-12-21 01:41:32 709

原创【网络安全】掌握 Active Directory 攻防审计实操知识点

Active Directory (AD) 是一种目录服务，作为大多数企业网络的核心，用于存储网络中对象的信息。用户：代表个人或服务的账户。组：用户或其他对象的集合，通常附带特定权限。计算机：属于 AD 域的机器，受 AD 策略管控。打印机及其他资源：网络中可访问的设备或服务。Active Directory 是企业网络管理的基石，其复杂性为攻击者和防守者提供了广泛的切入点。通过理解其架构、功能及常见攻击手段，管理员可以更有效地保护企业网络安全。

2024-12-17 00:51:08 1325

原创【网络安全】WIFI WPA/WPA2协议：深入解析与实践

解析 WPA/WPA2 的第一步是监听 Wi-Fi 流量，捕获设备与接入点之间的 4 次握手数据。然而，设备通常不会频繁连接或重新连接，为了加速过程，攻击者会发送断开认证包 (Deauthentication Packet)，强制客户端重新连接，从而捕获新的握手数据。

2024-12-13 05:46:39 2675

原创【网络安全】Web Timing 和竞争条件攻击：揭开隐藏的攻击面

从本质上讲，Web Timing 攻击是通过观察 Web 应用处理请求所需时间的长短来获取信息。我们可以通过微小的输入变化或调整发送方式来测量响应时间的差异，从而获得未经授权的信息。Web Timing 和竞争条件攻击展示了现代 Web 应用隐藏的攻击面。随着 HTTP/2 的普及，这类漏洞的检测和利用变得更具可能性。开发者应采取更严谨的设计和测试方法，特别是在处理并发请求和时间敏感逻辑时。通过了解这些攻击方式，我们不仅可以提升防御能力，还能更深入地理解 Web 应用的安全挑战。

2024-12-13 05:28:06 744

原创【网络安全】深入了解Nmap的--reason参数：揭秘扫描结果背后的原因

在渗透测试和网络安全分析中，Nmap是一个强大的工具，广泛用于扫描网络上的设备和服务。虽然Nmap默认会列出开放端口和主机状态，但它并不会详细解释为什么某个端口被认为是开放的，或者为何主机被判定为“在线”。这时，–reason 参数便派上了用场。通过这个参数，Nmap能够提供详细的原因解释，帮助我们理解扫描过程中的每一个判断依据。本文将深入介绍如何使用–reason参数，让你不仅知道哪些端口开放，还能清楚了解Nmap为什么作出这样的结论。

2024-12-04 20:08:18 604

原创【网络安全】利用空闲主机进行Nmap隐匿扫描：IP伪造与空闲扫描技术

在网络安全领域，扫描和识别目标主机的开放端口是攻击者获取目标信息的重要手段。传统的扫描方法可能会暴露扫描者的真实IP地址，从而引起目标主机的警觉。然而，IP地址伪造是一种巧妙的方式，可以帮助攻击者在扫描过程中保持隐蔽性，避免被目标发现。然而，IP伪造技术并非在所有网络设置下都能有效运作，它依赖于攻击者能够监控网络流量，并且仅在特定环境下才有实际作用。考虑到这些限制，IP地址伪造的使用场景并不多，但我们可以通过一种“空闲扫描”技术（也叫“僵尸扫描”）对其进行升级。

2024-12-04 19:58:03 1666

原创【网络安全】Nmap数据包分片解析 -f 选项

Nmap的-f选项为用户提供了一种灵活的方式来分割IP数据包，从而隐藏扫描活动并绕过一些安全防护措施。通过理解IP头部的结构和数据包分片的工作原理，你可以更好地掌握如何在网络扫描中使用这一功能，从而提高扫描的效率和隐蔽性。在实际应用中，合理调整分片大小、数据包长度等选项，将有助于优化网络安全扫描的效果。

2024-12-04 19:39:38 898

原创【网络安全】使用伪装IP地址和MAC地址进行Nmap扫描

使用伪装IP地址和MAC地址进行网络扫描是一种非常强大的技巧，但它有其局限性和要求。攻击者必须能够监控网络流量，以确保能够捕获目标机器的响应。此外，伪装只能在特定条件下生效，比如攻击者和目标在同一网络中。通过使用诱饵技术，攻击者还可以进一步增加被追踪的难度，使得扫描更加隐蔽。在进行这类扫描时，确保操作的合法性和道德性非常重要。

2024-12-04 19:30:00 1122

原创【网络安全】Nmap 扫描技巧：自定义端口、扫描速度与并行化设置

通过灵活运用 Nmap 提供的这些参数，你可以根据实际需求优化扫描过程。无论是指定端口扫描，还是调整扫描速度与并行化设置，Nmap 都能帮助你更高效地完成网络安全评估工作。掌握这些技巧，不仅能提高你的扫描精度，也能让你在渗透测试或安全审计中游刃有余。希望这篇文章能够帮助你更加深入地理解 Nmap 的强大功能，并提高你在实际操作中的效率。如果你有更多的技巧或问题，欢迎留言讨论！

2024-12-04 18:52:54 2681

原创【网络安全】深入理解 TCP 标志位（TCP Flags）

TCP标志位是网络通信的基础元素，也是网络安全分析的重要工具。通过理解这些标志位的功能和作用，我们不仅可以更好地理解TCP协议，还能更高效地使用如Nmap这样的工具来执行网络扫描和安全检测。对于初学者来说，建议从TCP三次握手和四次挥手的过程入手，结合实际工具测试不同的扫描方式，逐步掌握TCP标志位的精髓。

2024-12-02 01:50:56 2217

原创【网络安全】跨站脚本（XSS）攻击示例概念验证

在跨站脚本（XSS）攻击中，有效负载是指希望在目标计算机上执行的JavaScript代码。有效负载由两个部分组成：意图和修改。意图是指你希望JavaScript实际执行的操作，而修改则是针对不同场景所需的代码更改。

2024-10-14 16:40:07 622

原创【网络安全】使用 favicon MD5 值检测网站框架

Favicon（favorites icon）是网站标签或书签旁边的小图标，通常以 .ico、.png 或 .svg 格式呈现。每个网站的 favicon 大多是独一无二的，通常与该网站的品牌或技术堆栈有关。这就使得通过 favicon 进行某种程度的技术识别成为可能。

2024-10-09 21:01:10 1295

原创【网络安全】深入了解 net user 命令：上一次是谁登录的？

net user 命令是 Windows 系统中管理用户账户的实用工具。通过该命令，管理员可以轻松获取用户的上次登录时间、本地和全局组信息、密码状态等重要信息，并能够快速调整用户权限、修改密码或管理账户状态。在日常系统维护和安全管理中，熟练掌握 net user 命令将帮助管理员更好地保护系统安全，提升工作效率。

2024-10-05 22:27:20 2324